RADIUS
Что такое RADIUS?
RADIUS (Remote Authentication Dial-In User Service) — это сетевой протокол, используемый для централизованной аутентификации, авторизации и учета (AAA) пользователей при подключении к сети.
RADIUS позволяет проверять учетные данные пользователя на удаленном сервере, а не локально на устройстве доступа, обеспечивая гибкость и безопасность.
Цель и назначение RADIUS
🎯 Основные задачи:
- Аутентификация: Проверка личности пользователя (логин/пароль, токены, сертификаты)
- Авторизация: Определение, какие ресурсы может использовать пользователь
- Учет (Accounting): Логирование времени сессии, объема переданных данных, событий
Протокол используется в корпоративных сетях, Wi-Fi, VPN, точках доступа, NAS и других системах.
Как работает RADIUS?
[Клиент] → Отправляет запрос на доступ (например, имя и пароль)
[Network Access Server (NAS)] → Пересылает запрос на RADIUS-сервер
[RADIUS Server] → Проверяет учетные данные и отвечает: Accept / Reject / Challenge
[NAS] → Разрешает или запрещает доступ на основе ответа сервера
Этапы работы:
- Клиент отправляет учётные данные через NAS.
- NAS формирует RADIUS-запрос (Access-Request).
- Сервер проверяет данные (через LDAP, SQL, Active Directory и др.).
- Сервер отправляет ответ: Accept, Reject или Challenge.
- При успешной аутентификации NAS открывает доступ.
- Сервер может начать учёт (Accounting) активности клиента.
Архитектура RADIUS
+------------------+ +------------------+ +------------------+
| Клиент | | NAS / Router | | RADIUS Server |
| (Пользователь, | <----> | (Access Point) | <----> | (AAA Server) |
| мобильное устройство) | | | | |
+------------------+ +------------------+ +------------------+
Компоненты:
- Клиент — устройство, пытающееся получить доступ (пользователь, ноутбук, телефон)
- NAS (Network Access Server) — точка доступа (роутер, коммутатор, AP), которая посылает запрос на сервер
- RADIUS Server — сервер, который обрабатывает запросы и принимает решение о доступе
Сообщения и атрибуты RADIUS
Основные типы сообщений:
| Сообщение |
Описание |
| Access-Request |
Запрос на аутентификацию |
| Access-Accept |
Положительный ответ |
| Access-Reject |
Отказ в доступе |
| Access-Challenge |
Дополнительный запрос (например, второй фактор) |
| Accounting-Request |
Начало или обновление учета сессии |
| Accounting-Response |
Подтверждение получения учетных данных |
Часто используемые атрибуты:
| Атрибут |
Описание |
| User-Name |
Имя пользователя |
| User-Password / CHAP-Password |
Учётные данные |
| NAS-Identifier |
Имя точки доступа |
| Calling-Station-ID |
MAC-адрес клиента |
| Framed-IP-Address |
IP-адрес, выделенный клиенту |
| Service-Type |
Тип сервиса (Login, Framed и т. д.) |
| Class |
Группа или VLAN, назначенная пользователю |
| Acct-Status-Type |
Тип учётного события (Start, Stop, Interim-Update) |
Протокол RADIUS: версии и стандарты
| Версия |
Год |
Описание |
| RFC 2058 |
1997 |
Первая спецификация |
| RFC 2138 / RFC 2139 |
1997 |
Объединённая документация |
| RFC 2865 / RFC 2866 |
2000 |
Обновленные спецификации |
| RFC 5080 |
2007 |
Рекомендации по использованию UDP, IPv6 и обнаружению ошибок |
| Дальнейшие RFC |
2010–2020 |
Расширения для EAP, Diameter, TLS и других технологий |
RADIUS работает поверх UDP портов 1812 (Authentication) и 1813 (Accounting).
Где применяется RADIUS?
| Сценарий |
Описание |
| Wi-Fi сети |
Защита с помощью WPA2-Enterprise или WPA3 |
| VPN |
Аутентификация через RADIUS вместо локального хранения паролей |
| Ethernet доступ |
802.1X для проводных подключений |
| Точки доступа и маршрутизаторы |
Централизованное управление доступом |
| ISP |
Управление доступом пользователей через PPPoE |
| VoWiFi / IMS |
Интеграция с IMS и Wi-Fi Calling |
| IoT / M2M |
Управление доступом SIM-карт и IoT-устройств |
| Облачные системы |
Интеграция с Azure AD, AWS, Google Cloud IAM |
Преимущества RADIUS
| Преимущество |
Описание |
| Централизованное управление |
Все учетные данные находятся на одном сервере |
| Масштабируемость |
Поддерживает тысячи пользователей и устройств |
| Поддержка множества методов аутентификации |
PAP, CHAP, MS-CHAP, EAP и др. |
| Интеграция с LDAP / Active Directory |
Легко интегрируется с существующими системами |
| Учет активности |
Возможность мониторинга использования сети |
| Безопасность |
Шифрование паролей, защита от прослушивания |
| Гибкость политики |
Назначение VLAN, QoS, прав доступа |
Недостатки и ограничения RADIUS
| Недостаток |
Описание |
| UDP без гарантии доставки |
Возможно потеря пакетов |
| Ограниченная шифрованная передача |
Только пароль шифруется, остальные поля — нет |
| Сложность настройки |
Требует понимания протоколов и интеграции с другими системами |
| Ограничения в масштабировании |
Без балансировки сложно управлять большим количеством NAS |
| Не поддерживает сложные политики авторизации |
Для этого лучше использовать Diameter или TACACS+ |
RADIUS vs TACACS+
| Критерий |
RADIUS |
TACACS+ |
| Уровень модели OSI |
Прикладной |
Прикладной |
| Протокол передачи |
UDP |
TCP |
| Функциональность |
AAA (все три функции в одном протоколе) |
AAA (можно разделить) |
| Шифрование |
Только пароль |
Весь payload |
| Масштабируемость |
Высокая |
Средняя |
| Использование |
Wi-Fi, Ethernet, PPP, VoWiFi |
Управление сетевыми устройствами (CLI команды) |
| Поддержка EAP |
✅ |
❌ |
| Распространённость |
Широко |
В основном в Cisco-сетях |
Перспективы развития RADIUS
| Направление |
Описание |
| Интеграция с Diameter |
Совместимость с современными 5G, IMS и LTE сетями |
| Поддержка EAP-TLS и сертификатов |
Улучшенная безопасность аутентификации |
| Cloud RADIUS |
Работа как SaaS (например, Microsoft NPS, Cisco ISE Cloud) |
| API-first подход |
Управление через REST API и автоматизацию |
| Multi-Factor Authentication (MFA) |
Интеграция с OTP, биометрией, push-уведомлениями |
| Виртуализация и контейнеризация |
Запуск RADIUS-серверов в Docker/Kubernetes |
| Шифрование всего трафика |
С использованием TLS и DTLS |