Servidor RADIUS (Autenticación RADIUS) y Cómo funciona

El Servicio de Usuario de acceso telefónico de Autenticación remota (RADIUS) es un protocolo de red cliente-servidor que se ejecuta en la capa de aplicación. El protocolo RADIUS utiliza un servidor RADIUS y clientes RADIUS.

Un Cliente RADIUS (o Servidor de acceso a la red) es un dispositivo de red (como un concentrador VPN, enrutador, conmutador) que se utiliza para autenticar usuarios.

Un servidor RADIUS es un proceso en segundo plano que se ejecuta en un servidor UNIX o Windows. Le permite mantener los perfiles de usuario en una base de datos central. Por lo tanto, si tiene un servidor RADIUS, tiene control sobre quién puede conectarse a su red.

Cuando un usuario intenta conectarse a un cliente RADIUS, el Cliente envía solicitudes al servidor RADIUS. El usuario puede conectarse al cliente RADIUS solo si el servidor RADIUS autentica y autoriza al usuario.

El funcionamiento del servidor RADIUS depende de la naturaleza exacta del ecosistema RADIUS. Sin embargo, todos los servidores tienen capacidades AAA (Autenticación, Autorización y Contabilidad). En algunos ecosistemas RADIUS, un servidor RADIUS también puede actuar como cliente proxy para otros servidores RADIUS.

Los servidores RADIUS ofrecen a las empresas la capacidad de preservar la privacidad y la seguridad de su sistema y de sus usuarios, lo que ayuda en la gestión de la seguridad y en la creación de políticas para la administración de servidores.

¿Cómo funciona la autenticación y autorización del servidor RADIUS?

Un servidor RADIUS admite una variedad de métodos para autenticar a un usuario. La autenticación y la autorización del servidor RADIUS van de la mano y, por lo general, comienzan cuando un usuario intenta conectarse al Cliente RADIUS utilizando un nombre de usuario y una contraseña. Un proceso básico de autenticación y autorización RADIUS incluye los siguientes pasos:

1. El Cliente RADIUS intenta autenticarse en el servidor RADIUS mediante credenciales de usuario (nombre de usuario y contraseña).
2. El Cliente envía un mensaje de solicitud de acceso al servidor RADIUS. El mensaje comprende un secreto compartido. Las contraseñas siempre están cifradas en el mensaje de solicitud de acceso.
3. El servidor RADIUS lee el secreto compartido y garantiza que el mensaje de solicitud de acceso proviene de un Cliente autorizado. Si la solicitud de acceso no procede de un cliente autorizado, el mensaje se descarta.
4. Si el Cliente está autorizado, el servidor RADIUS lee el método de autenticación solicitado.
5. Si el método de autenticación utilizado está permitido, el servidor RADIUS lee las credenciales de usuario del mensaje. Compara las credenciales de usuario con la base de datos de usuarios. Si hay una coincidencia, el servidor RADIUS extrae detalles de usuario adicionales de la base de datos de usuarios.
6. El servidor RADIUS ahora comprueba si hay una directiva de acceso o un perfil que coincida con las credenciales de usuario.
7. Si no hay una directiva coincidente, el servidor envía un mensaje de rechazo de acceso. La transacción RADIUS finaliza y se deniega al usuario el acceso al sistema.
8. Si hay una directiva coincidente, el servidor RADIUS envía un mensaje de aceptación de acceso al dispositivo.
9. El mensaje de aceptación de acceso consiste en un secreto compartido y un atributo de ID de filtro. Si el secreto compartido no coincide, el Cliente RADIUS rechaza el mensaje.
10. Si el secreto compartido coincide, el Cliente lee el valor del atributo ID de filtro. El ID del filtro es una cadena de texto. El Cliente RADIUS conecta al usuario a un Grupo RADIUS en particular mediante este ID de filtro. Un Grupo RADIUS es un grupo de usuarios que tienen el mismo valor de FilterID. Prácticamente, un grupo RADIUS hace que sea más fácil clasificar a los usuarios en grupos funcionales (como Ventas, Redes, Sistema, Recursos Humanos, TI, etc.).).
11. El usuario finalmente se autentica y autoriza y obtendrá acceso al Cliente RADIUS.

¿Cómo funciona la contabilidad para el servidor RADIUS / Autenticación RADIUS?

Los servidores RADIUS también se utilizan con fines contables. La contabilidad RADIUS recopila datos para fines estadísticos, de facturación o de supervisión de la red. Por lo general, el proceso de contabilidad se inicia cuando se concede al usuario acceso al servidor RADIUS. Sin embargo, la contabilidad RADIUS también se puede usar independientemente de la autenticación y autorización RADIUS.

Un proceso de contabilidad RADIUS básico incluye los siguientes pasos:

1. El proceso se inicia cuando se concede al usuario acceso al servidor RADIUS.
2. El Cliente RADIUS envía al servidor RADIUS un paquete de solicitud de cuentas RADIUS conocido como Inicio de cuentas. El paquete de solicitud comprende el ID de usuario, la dirección de red, el identificador de sesión y el punto de acceso.
3. Durante la sesión, el Cliente puede enviar paquetes adicionales de solicitud de cuentas conocidos como Actualización provisional al servidor RADIUS. Estos paquetes incluyen detalles como la duración de la sesión actual y el uso de datos. Este paquete sirve para actualizar la información sobre la sesión del usuario al servidor RADIUS.
4. Una vez que finaliza el acceso del usuario al Servidor RADIUS, el Cliente RADIUS envía otro paquete de solicitud de cuentas conocido como Parada de cuentas al Servidor RADIUS. El paquete incluye información como el tiempo total, los datos y los paquetes transferidos, el motivo de la desconexión, y otra información relevante para la sesión del usuario.

Conclusión

Un servidor RADIUS evita que la información privada de su organización se filtre a extraños que fisgonean. También permite capacidades de depreciación fáciles y permite asignar permisos de red únicos a usuarios individuales. Se puede integrar en su sistema existente sin cambios significativos.

Los usos y beneficios de los servidores RADIUS son de gran alcance. Por lo tanto, si desea integrar un ecosistema RADIUS en su sistema actual con facilidad, póngase en contacto con Foxpass hoy mismo.

Wi-Fi es una marca comercial de Wi-Fi Alliance ®