RADIUS Authentication: ยืนยันตัวตนเข้าใช้ Network ด้วย 802.1X
RADIUS (Remote Authentication Dial-In User Service) เป็น protocol มาตรฐานสำหรับ authentication, authorization และ accounting (AAA) ใช้ยืนยันตัวตนของ users และ devices ก่อนอนุญาตให้เข้าถึง network ทำงานร่วมกับ 802.1X เพื่อให้ port-based access control บน switches และ WiFi
องค์กรที่ใช้ RADIUS + 802.1X จะมี security ดีกว่าองค์กรที่ใช้แค่ password บน WiFi (PSK) หรือปล่อยให้ใครก็เสียบสาย LAN ได้ RADIUS ทำให้รู้ว่าใครเข้า network เมื่อไหร่ จากอุปกรณ์อะไร และได้ access level อะไร บทความนี้จะอธิบาย RADIUS, EAP methods และวิธี deploy
AAA Framework
| Component | ความหมาย | ตัวอย่าง |
|---|---|---|
| Authentication | ยืนยันว่าคุณเป็นใคร | Username/Password, Certificate, MFA |
| Authorization | กำหนดว่าคุณทำอะไรได้ | VLAN assignment, ACL, bandwidth limit |
| Accounting | บันทึกว่าคุณทำอะไร เมื่อไหร่ | Login time, data usage, session duration |
RADIUS Architecture
Components
Supplicant: Client software บนอุปกรณ์ user (Windows built-in, macOS built-in, AnyConnect) ส่ง credentials ไปยัง authenticator Authenticator: Network device (switch, WiFi controller) ที่ enforce access control ส่ง RADIUS request ไป RADIUS server Authentication Server: RADIUS server ที่ตรวจสอบ credentials เทียบกับ identity store (AD, LDAP) ตัวอย่าง: FreeRADIUS, Windows NPS, Cisco ISE
802.1X ทำงานอย่างไร
กระบวนการ
Step 1: User เสียบสาย LAN หรือเชื่อมต่อ WiFi switch/AP port อยู่ใน “unauthorized” state (block ทุก traffic ยกเว้น 802.1X) Step 2: Switch ส่ง EAP-Request Identity ไปยัง supplicant Step 3: Supplicant ตอบด้วย identity (username) switch forward ไป RADIUS server Step 4: RADIUS server ส่ง EAP challenge (ขึ้นกับ EAP method) Step 5: Supplicant ตอบ challenge (password, certificate) Step 6: RADIUS server ตรวจสอบ credentials กับ identity store (AD) Step 7: ถ้าผ่าน → RADIUS ส่ง Access-Accept + VLAN assignment กลับไป switch Step 8: Switch เปิด port + assign VLAN ตามที่ RADIUS กำหนด
EAP Methods
| EAP Method | Credentials | Security | เหมาะกับ |
|---|---|---|---|
| EAP-TLS | Client + Server Certificate | สูงมาก (mutual auth) | Corporate devices (แนะนำมากที่สุด) |
| PEAP-MSCHAPv2 | Username/Password + Server Cert | สูง | ง่ายที่สุด ใช้กับ AD |
| EAP-TTLS | Username/Password + Server Cert | สูง | Multi-platform (Linux, macOS) |
| EAP-FAST | PAC (Protected Access Credential) | สูง | Cisco environments |
แนะนำ
PEAP-MSCHAPv2: เริ่มต้นง่ายที่สุด ใช้ AD username/password ไม่ต้อง deploy client certificates EAP-TLS: security ดีที่สุด แต่ต้อง deploy PKI (Certificate Authority) + client certificates ซับซ้อนกว่า
RADIUS Server Options
| Solution | ราคา | จุดเด่น |
|---|---|---|
| Windows NPS | ฟรี (มากับ Windows Server) | ง่าย integrate กับ AD ดีมาก |
| FreeRADIUS | ฟรี (open-source) | Flexible, powerful, multi-platform |
| Cisco ISE | แพงมาก | Enterprise NAC + RADIUS ครบ |
| Aruba ClearPass | แพง | Multi-vendor, BYOD management |
Deploy 802.1X บน Wired Network
Switch Configuration (Cisco)
Global config: aaa new-model aaa authentication dot1x default group radius aaa authorization network default group radius dot1x system-auth-control radius server NPS address ipv4 10.0.20.10 auth-port 1812 acct-port 1813 key [shared-secret] Interface config: interface GigabitEthernet0/1 switchport mode access authentication port-control auto dot1x pae authenticator
Deploy 802.1X บน WiFi
WPA2/WPA3 Enterprise
WiFi ที่ใช้ 802.1X เรียกว่า WPA2-Enterprise หรือ WPA3-Enterprise: ไม่ใช้ shared password (PSK) แต่ใช้ individual credentials (username/password หรือ certificate) ทุก user มี encryption key แยก (ไม่เหมือน PSK ที่ทุกคนใช้ key เดียวกัน) ปลอดภัยกว่า PSK มาก ไม่ต้องเปลี่ยน password เมื่อพนักงานลาออก
Dynamic VLAN Assignment
RADIUS กำหนด VLAN
RADIUS server สามารถส่ง VLAN assignment กลับมาพร้อม Access-Accept: ตัวอย่าง: user ใน AD group “Staff” → VLAN 30 (Staff) user ใน AD group “IT” → VLAN 10 (Management) user ไม่อยู่ใน AD → VLAN 70 (Guest) ทำบน RADIUS policy (NPS Network Policy หรือ ISE Authorization Policy)
Troubleshooting
| ปัญหา | สาเหตุ | แก้ไข |
|---|---|---|
| Client ไม่ได้ network access | RADIUS shared secret ไม่ตรง | ตรวจ shared secret บน switch + RADIUS server |
| Authentication fail | EAP method ไม่ตรงกัน | ตรวจ EAP method บน client + RADIUS server |
| Certificate error | Server certificate ไม่ trusted | Install CA certificate บน clients |
| VLAN ไม่ถูก assign | RADIUS policy ไม่มี VLAN attributes | เพิ่ม Tunnel-Type, Tunnel-Medium-Type, Tunnel-Pvt-Group-ID |
ทิ้งท้าย: 802.1X เป็นมาตรฐาน Network Authentication
RADIUS + 802.1X เป็นวิธียืนยันตัวตนที่ปลอดภัยที่สุดสำหรับ network access เริ่มจาก WiFi ก่อน (WPA2-Enterprise) แล้วค่อย deploy บน wired ใช้ Windows NPS (ฟรี) กับ AD สำหรับ PEAP-MSCHAPv2 เพิ่ม EAP-TLS เมื่อพร้อม deploy PKI
อ่านเพิ่มเติมเกี่ยวกับ Network Access Control NAC และ Network Segmentation ที่ siamlancard.com หรือจาก icafeforex.com และ siam2r.com
