RADIUS (acrónimo en inglés de Remote Authentication Dial-In User Server). Es un protocolo de autenticación y autorización para aplicaciones de acceso a la red o movilidad IP. Utiliza el puerto 1813 UDP para establecer sus conexiones.
Cuando se realiza la conexión con un ISP mediante módem, DSL, cablemódem, Ethernet o Wi-Fi, se envía una información que generalmente es un nombre de usuario y una contraseña. Esta información se transfiere a un dispositivo NAS (Servidor de Acceso a la Red o Network Access Server (NAS)) sobre el protocolo PPP, quien redirige la petición a un servidor RADIUS sobre el protocolo RADIUS. El servidor RADIUS comprueba que la información es correcta utilizando esquemas de autenticación como PAP, CHAP o EAP. Si es aceptado, el servidor autorizará el acceso al sistema del ISP y le asigna los recursos de red como una dirección IP, y otros parámetros como L2TP, etc.
Una de las características más importantes del protocolo RADIUS es su capacidad de manejar sesiones, notificando cuando comienza y termina una conexión, así que al usuario se le podrá determinar su consumo y facturar en consecuencia; los datos se pueden utilizar con propósitos estadísticos.
Radius (Remote Authentication Dial-In User Service) es un protocolo de seguridad para accesos remotos. Ha sido propuesto como estándar por el IETF (Internet Engineering Task Force), y sus componentes principales están definidos en las normas “RFC 2138: Remote Authentication Dial-In User Service (RADIUS)” y “RFC 2139: RADIUS Accounting”. Hay otras RFC que definen extensiones
y complementos al conjunto principal del protocolo definido en las dos normas anteriores.
La arquitectura del protocolo es cliente/servidor. Cuando se produce un intento de acceso de un usuario, el cliente Radius, que reside en los servidores de acceso, intermedia entre el usuario y un servidor Radius, que tiene la potestad de denegar o autorizar los intentos de conexión. El diálogo entre cliente y servidor se realiza utilizando paquetes del protocolo Radius.
RADIUS fue desarrollado originalmente por Livingston Enterprises para la serie PortMaster de sus Servidores de Acceso a la Red(NAS), más tarde se publicó como RFC 2138 y RFC 2139. Actualmente existen muchos servidores RADIUS, tanto comerciales como de código abierto. Las prestaciones pueden variar, pero la mayoría pueden gestionar los usuarios en archivos de texto, servidores LDAP, bases de datos varias, etc. A menudo se utiliza SNMP para monitorear remotamente el servicio. Los servidores Proxy RADIUS se utilizan para una administración centralizada y pueden reescribir paquetes RADIUS al vuelo (por razones de seguridad, o hacer conversiones entre dialectos de diferentes fabricantes).
RADIUS es extensible; la mayoría de fabricantes de software y hardware RADIUS implementan sus propios dialectos
El servidor RADIUS generalmente es un software aunque existen algunos appliance. Las versiones servidor de Windows 2000 y Windows 2003 incluyen un servidor RADIUS, que se denomina IAS - Internet Access Server. Este, como la mayoría de los servidores RADIUS tiene varias limitaciones de plataforma, S.O, etc que se comentarán más adelante.
Como se vió, el servidor RADIUS tiene la función de Autenticar y de Autorizar a los clientes de WIFI. Los servidores RADIUS más completos incluyen una tercera función que es el Accounting, por eso se denominan "AAA" o "Triple A".
Para finalizar, digamos que en lo que respecta a Seguridad WIFI, los Servidores RADIUS, además de autenticar y autorizar el acceso de usuarios añaden otras ventajas muy relevantes:
A diferencia de las VPN, protegen la capa 2 pues cifran el canal antes que el usuario sea autenticado y reciba su IP. La VPN necesita una dirección IP para autenticar al usuario.
El servidor RADIUS genera claves dinámicamente, lo que mitiga significativamente las deficiencias del protocolo de encriptacion WEP.
Funciones “AAA”
Radius realiza tres funciones relacionadas con la seguridad de los accesos remotos, agrupadas bajo el acrónimo inglés “AAA” (“Authentication, Authorization and Accounting”):
· Autenticación: posibilidad de que los usuarios remotos se identifiquen mediante un identificador y una clave de acceso.
· Autorización: asignación de parámetros a cada acceso basándose en perfiles de usuario predefinidos y políticas de seguridad.
· Contabilidad (“ Accounting”): creación de registros de uso para permitir la auditoría, la medida de prestaciones y la facturación de los accesos remotos.
No hay comentarios:
Publicar un comentario