Servidor RADIUS: Significado y Uso para la autenticación
Las empresas necesitan administrar el acceso a sus redes de manera efectiva ahora más que nunca. Los ciberataques están aumentando en todas las industrias y hay una presión adicional sobre los equipos de seguridad para prevenir y remediar cualquier ataque.
La autenticación y autorización a través del protocolo de servidor RADIUS es un método de prevención de confianza. Permite un protocolo de autorización centralizado en el que todas las solicitudes de acceso pasan por un solo servidor. La contabilidad RADIUS registra y supervisa todas las acciones de los usuarios para crear transparencia dentro de la red.
¿Qué es el servidor RADIUS?
RADIUS es un protocolo de red. Significa Servicio Telefónico de Autenticación Remota para Usuarios. Este protocolo utiliza un método de comunicación cliente-servidor. Involucra un servidor y clientes.
Un cliente RADIUS es un dispositivo de red como un enrutador, utilizado para conectarse a una red, o un concentrador VPN, que establece conexiones VPN. El cliente autentica a los usuarios poniéndose en contacto con el servidor.
El servidor RADIUS es un proceso en segundo plano que se ejecuta en una aplicación de servidor. Puede almacenar y mantener perfiles de usuario en una base de datos, lo que significa que controla todo el acceso a una red.
Cuando un usuario intenta conectarse a un cliente RADIUS, envía una solicitud al servidor. Solo después de que el servidor autentique y autorice a un usuario, el servidor otorgará a un usuario acceso al cliente RADIUS.
Los servidores utilizan el proceso AAA (Autenticación, Autorización y Contabilidad) para autenticar y autorizar a los usuarios.
Además, los servidores RADIUS utilizan una secuencia de autorización de extracción. Aquí es donde un usuario se conecta a un cliente, que se pone en contacto con el servidor en nombre del usuario. Esto contrasta con una secuencia push en la que un usuario se conecta directamente a un servidor y recibe un ticket para usar el cliente.
¿Qué es AAA?
El proceso AAA ha facilitado a las empresas la autenticación y autorización de usuarios. Antes de AAA, otros protocolos usaban dispositivos individuales para la autenticación. Por ejemplo, la estación de trabajo de un empleado puede usar un método de autenticación diferente en comparación con el teléfono inteligente del gerente.
Esto es problemático para la escalabilidad porque alguien tendría que realizar un seguimiento de todos los métodos de autenticación. Con el proceso AAA centralizado, los usuarios pueden acceder a un único servidor para la autenticación.
Ahora, echemos un vistazo más de cerca a cada parte del proceso.
Obtenga nuestra Guía de generación de leads para MSP
Obtenga más información sobre cómo generar leads con éxito y escalar
Ir a la Guía
Autenticación
Esto implica el proceso de verificar la identidad de un usuario. Por lo general, un usuario proporciona una contraseña, que se utiliza como una forma de autenticación. Las contraseñas son menos seguras que la autenticación multifactor o los certificados digitales. Por lo tanto, es más probable que las empresas utilicen estas contraseñas además de las contraseñas.
Además, el proceso permite una relación de confianza entre dos objetos. Por ejemplo, el equipo y el servidor de un usuario se consideran usuarios válidos en el proceso de autenticación.
Autorización
Esta es una colección de plantillas y conjuntos de reglas que dictan lo que un usuario puede hacer en una red. Por ejemplo, un miembro del equipo de ventas solo puede acceder a los datos que son relevantes para su departamento o función de trabajo.
Contabilidad
Este es un proceso de monitoreo, documentación y medición de lo que hace un usuario en una red. Por ejemplo, registros contables a los que acceden los usuarios de bases de datos, archivos y aplicaciones durante una sesión.
Los gerentes y empleados pueden usar estos registros para evaluar la capacidad de una red. Además, los equipos de TI pueden investigar cualquier solicitud de acceso rechazado recurrente para descubrir posibles ciberdelincuentes.
Proceso de autenticación del servidor RADIUS
La autenticación comienza cuando un usuario intenta conectarse a un cliente RADIUS. Por lo general, introducen un nombre de usuario y una contraseña. A continuación, el cliente envía un mensaje de solicitud de acceso al servidor. Las contraseñas siempre se cifran en el mensaje y también se incluye un secreto compartido.
A continuación, el Servidor lee el secreto compartido y verifica que el mensaje de solicitud de acceso proviene de un Cliente autorizado. Si el Cliente no está autorizado, el Servidor rechaza la solicitud. Pero, si el Cliente está autorizado, el Servidor lee el método de autenticación y compara el nombre de usuario y la contraseña del usuario con la base de datos de usuarios.
El servidor obtiene más información del usuario de la base de datos y comprueba si hay una directiva o perfil de acceso que coincida con el usuario. La transacción finaliza si no hay coincidencia.
Con una coincidencia, el Servidor envía un mensaje de aceptación de acceso al Cliente. El mensaje contiene un atributo de ID de filtro y un secreto compartido. El secreto compartido debe coincidir antes de que el Cliente lea el atributo ID de filtro.
El Cliente utiliza el atributo ID de filtro (una cadena de texto) para conectar a un usuario a un Grupo de usuarios RADIUS con el mismo atributo ID de filtro. Los grupos ayudan a clasificar a los usuarios en grupos funcionales (p. ej. diferentes departamentos pueden ser diferentes grupos). Una vez conectado a un Grupo y autorizado, el usuario obtiene acceso al Cliente.
Pensamientos finales
La autenticación del servidor RADIUS sigue el proceso AAA, que permite la autenticación segura a través de una única fuente. Además, con la contabilidad, las empresas pueden aprovechar los datos de acceso de los usuarios. Pueden identificar amenazas a sus redes o determinar los precios para los clientes que usan sus redes.
Es importante destacar que la integración del servidor RADIUS es sencilla y compatible con las configuraciones de red existentes.ù
Leave a Reply