Protokolümüz: Güvenlik– RADIUS Nedir?

Arabanızı kimler kullanabiliyor? Eğer anahtar yalnızca sizde varsa ve kimseye vermiyorsanız yalnızca siz erişebilir ve siz kullanabilirsiniz. Aksini iddia edebilir miyiz? Peki, bir de şöyle düşünelim. Arabanızın yedek anahtarını kaybettiniz, bu anahtarı bulan kötü niyetli bir kişi anahtarınızı kopyalayarak farklı kişilere de verdi. Siz aracınızın başında değilken arabayı alıyorlar, keyiflerince kullanıyor ve belki suç işleyip tekrar yerine bırakıyorlar. Oldukça can sıkıcı bir durum olur değil mi? Kesinlikle evet. Peki, aracınızı kontağa taktıktan sonra bir de yalnızca sizin bildiğiniz bir parola olsaydı(Transporter filminden hatırlayanlarınız olur J)… Bir nevi 2FA işlemi uygulamış olurdunuz. Böylece sizin ve aracınızın güvenliğini daha üst seviyede sağlayabildiniz.

Bir de bu durumu dijital dünyaya entegre edelim. Aramızda Radius’u daha evvelinde duyanlarınız ve hatta şu an da kullananlarınız dahi olabilir. Ancak bunun arka planında nasıl çalıştığı ve siber güvenlik açısından neden bu denli önemli olduğunu da keşfetmemiz gerekmektedir. Kim bilir, belki bu içeriğimi okuduktan sonra siz de kurumunuza Radius’u entegre etmeyi düşünebilirsiniz. Öyleyse ‘Radius nedir’ sorusu ile başlayalım.

RADIUS Nedir?

Bir apartmanın temelleri ne kadar sağlam olursa, gelebilecek dış veya doğal tehditlere karşı da o kadar dayanıklı olacaktır. Benzer şekilde bir kurumun network’ü ve network security’si ne kadar iyi planlanmışsa, iç ve dış tehdit unsurlarına da o kadar istikrarlı bir biçimde dayanıklı kalacaktır. Ağ güvenliği sağlamanın yöntemleri arasında da yetkisiz erişimleri önlemek, kimlik doğrulama süreçlerini daha güvenli hale getirmek ve erişim kontrollerini yönetmekten geçmektedir. Bu noktada devreye RADIUS(Remote Authentication Dial-In User Service) protokolü girmektedir.

AAA terimini daha önce duymuş muydunuz? Hemen açılışını yapayım; “Authentication Authorization Accounting” anlamına gelmektedir. Yani Türkçe karşılığı ile “kimlik doğrulama, yetkilendirme ve hesap yönetimi” olarak da düşünebilirsiniz. Bu sayede güvenlik mimarinize ek katmanlar sağlayıp zero trust’ı benimseyerek temellerinizi sağlam zeminlere atabilirsiniz. RADIUS’un bu noktada size oldukça yararı dokunacaktır.

Bir güvenlik protokolünden bahsediyorsak, meraklıları için bunun tarihçesine de ufak bir dipnot olarak yer vermekte fayda var. 1991 yılında Livingston Enterprises tarafından geliştirilmiştir. Tabii teknolojinin de gelişmesi ile beraber zamanla üstüne koyarak büyük çaplı şirket ve ISP’lerin vazgeçilmez bir protokolü haline gelmiştir. Ayrıca birçok ağ cihazında da varsayılan olarak RADIUS desteklenmektedir.

Bu protokol genellikle şu alanlarda kullanılmaktadır;

• Kurumsal Wi-Fi Ağları,
• VPN Erişimleri,
• Uzaktan Bağlantı Sistemleri

RADIUS’un nasıl çalıştığına da değineceğim fakat öncesinde yukarıda da ifade ettiğim AAA mekanizması ile temel işlevlerini de belirtmek istiyorum. Bu noktada;

• Kimlik Doğrulama(Authentication): Kullanıcının kimliğinin doğrulanmasını sağlamaktadır.
• Yetkilendirme(Autherization): Kullanıcının hangi kaynaklara erişebileceğini belirlemektedir.
• Hesap Yönetimi(Accounting): Kullanıcının ağ üzerinde yaptığı işlemleri kaydetmektedir.

Zihninizde konuya dair bir görüntü resmedilmeye başladıysa, RADIUS’un nasıl çalıştığını da keşfedebiliriz.

RADIUS Nasıl Çalışır?

Şimdi işin teknik kısmına geçebiliriz. Genel itibari ile istemci-sunucu modeli ile çalışan bu güvenlik protokolü, bir ağ erişim kontrol sürecinde aşağıdaki adımları izlemektedir.

1. İlk aşamada kullanıcı bağlantı talebini gönderir. Bu bağlantı isteği, kurumsal Wi-Fi ağına bağlanmak veya VPN yapmak için gönderilmiş olabilir.
2. Daha sonra istemci(NAS – Network Access Server), ilgili kullanıcının kimlik bilgilerini RADIUS sunucusunun doğrulaması için isteği gönderir.
3. Akabinde RADIUS sunucusu, kimlik bilgilerini LDAP yahut Active Directory ile doğrulamasını gerçekleştirir.
4. Eğer ilgili kullanıcının erişmek istediği alanda yetkisi var ise yetkilendirme politikalarına istinaden uygunluğu kontrol edilmektedir. Buna istinaden de erişime izin verilmektedir. Erişim yetkisi olmayan bir yere bağlantı isteği yapılsaydı, bu aşamada kullanıcının isteğine red dönülecekti.
5. Erişimi sağlanan kullanıcının artık hesap yönetimi süreci başlamış olmaktadır. İlgili ağ üzerinde yaptığı işlemler izlenmektedir. Keza kaydedilerek de güvenli bir bağlantı mimarisi oluşturulmaktadır.

Dikkatinizi çektiyse, son 3 madde AAA’nın ta kendisi.

RADIUS’un Siber Güvenlik Bakış Açısı

Bu noktaya kadar RADIUS’un gerçek anlamda siber güvenliğe katkılarını keşfetmiş olduk. Aynı zamanda siber güvenliğe sağladığı avantajları örneklemlerle de teyit etmekte fayda olacaktır. Bu sayede kurumunuz özelinde daha geniş bir perspektifte güvenlik çözümlerinizi değerlendirebilirsiniz.

• Zero Trust Mimarisi ile Entegre Etmek: Kimseye ve hiçbir şeye güvenme! Her an veriler sızdırılabilir, her an yetkili kullanıcının hesabı ele geçirilebilir. Sistemlerin ve personellerin güvenliğini sağlamak adına RADIUS ve Zero Trust modelini bir araya getirebilirsiniz. Bu sayede ekstra koruma sağlamış olacaksınız.
• MFA ile Bağlantılarınıza Güç Katın: Microsoft Entra ID ve Google Authenticator gibi güvenlik çözümlerini RADIUS’a entegre ederek daha güvenli bir yapı inşa edebilirsiniz.
• Yetkisiz Erişimlerin Önüne Geçin: Kullanıcılarınızın sadece yetkilendirilmiş cihazlardan bağlantısını sağlayabilirsiniz. Böylece saldırgan kişilerin ağınızı keşfetmesinin önüne de geçmiş olursunuz. Bu noktada CyberArk da yol haritanızın bir parçası olabilmektedir.
• Denetim ve İzleme Sayesinde Anomali Davranışları Tespit Edin: Accounting(Hesap Yönetimi) özelliği sayesinde kullanıcılarınızın hangi cihazlardan, IP’lerden eriştiğini denetleyebilirsiniz. Bununla birlikte herhangi bir anormal durumda bunları tespit etmeniz mümkündür.
• Güvenli Bağlantılar ile Kendinizden Emin Olun: IPSec, TLS, EAP-TLS gibi gelişmiş şifreleme protokollerini desteklemektedir. Böylece daha güvenli bağlantılar sağlayabilirsiniz. Hazır bu kısma değinmişken, RADIUS kullanıcı adı ve parola ile doğrulamanın yanı sıra sertifika ile de doğrulama yapabilmektedir.

Peki, sizler bu protokolü kullanıyor musunuz? Konu hakkındaki görüş ve düşüncelerinizi aşağıda yorumlar kısmından paylaşabilirsiniz. Bir sonraki içeriğimde görüşmek üzere, sağlıkla ve güvenle kalın.