Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
RADIUSRADIUS (acrónimo en inglés de Remote Authentication Dial-In User Server). Es un protocolode autenticación y autoriza...
Clientes de accesoUn cliente de acceso es un dispositivo que necesita cierto nivel de acceso a una red de grantamaño. Los ...
Servidores RADIUSUn servidor RADIUS es un dispositivo que recibe y procesa peticiones de conexión o mensajesde administrac...
autenticación es realizada normalmente por un tercero, tal como un servidor de RADIUS. Estopermite la autenticación sólo d...
Los dos primeros apartados son el contenido fundamental del certificado (identidad y clavepública asociada), en tanto que ...
Upcoming SlideShare
Loading in …5
×

Radius

455 views

Published on

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Radius

  1. 1. RADIUSRADIUS (acrónimo en inglés de Remote Authentication Dial-In User Server). Es un protocolode autenticación y autorización para aplicaciones de acceso a la red o movilidad IP. Utiliza elpuerto 1812 UDP para establecer sus conexiones.Cuando se realiza la conexión con un ISP mediante módem, DSL, cablemódem, Ethernet o Wi-Fi, se envía una información que generalmente es un nombre de usuario y una contraseña.Esta información se transfiere a un dispositivo Network Access Server (NAS) sobre elprotocolo PPP, quien redirige la petición a un servidor RADIUS sobre el protocolo RADIUS. Elservidor RADIUS comprueba que la información es correcta utilizando esquemas deautenticación como PAP, CHAP o EAP. Si es aceptado, el servidor autorizará el acceso alsistema del ISP y le asigna los recursos de red como una dirección IP, y otros parámetroscomo L2TP, etc.Una de las características más importantes del protocolo RADIUS es su capacidad de manejarsesiones, notificando cuando comienza y termina una conexión, así que al usuario se le podrádeterminar su consumo y facturar en consecuencia; los datos se pueden utilizar con propósitosestadísticos.RADIUS fue desarrollado originalmente por Livingston Enterprises para la serie PortMaster desus Servidores de Acceso a la Red(NAS), más tarde se publicó como RFC 2138 y RFC 2139.Actualmente existen muchos servidores RADIUS, tanto comerciales como de código abierto.Las prestaciones pueden variar, pero la mayoría pueden gestionar los usuarios en archivos detexto, servidores LDAP, bases de datos varias, etc. A menudo se utiliza SNMP para monitorearremotamente el servicio. Los servidores Proxy RADIUS se utilizan para una administracióncentralizada y pueden reescribir paquetes RADIUS al vuelo (por razones de seguridad, o hacerconversiones entre dialectos de diferentes fabricantes)....RADIUS es extensible; la mayoría de fabricantes de software y hardware RADIUS implementansus propios dialectos.Componentes de una infraestructura RADIUSUna infraestructura de autenticación, autorización y administración de cuentas RADIUS estáformada por los siguientes componentes: Clientes de acceso Servidores de acceso (clientes RADIUS) Proxy RADIUS Servidores RADIUS Bases de datos de cuentas de usuarioEstos componentes se muestran en la siguiente ilustración:
  2. 2. Clientes de accesoUn cliente de acceso es un dispositivo que necesita cierto nivel de acceso a una red de grantamaño. Los clientes de acceso telefónico o de red privada virtual (VPN), los clientesinalámbricos o los clientes LAN conectados a un conmutador son ejemplos de clientes deacceso.Servidores de acceso (clientes RADIUS)Un servidor de acceso es un dispositivo que proporciona cierto nivel de acceso a una red degran tamaño. Un servidor de acceso que utiliza una infraestructura RADIUS también es uncliente RADIUS, que envía peticiones de conexión y mensajes de administración de cuentas aun servidor RADIUS. A continuación se muestran ejemplos de servidores de acceso: Servidores de acceso a la red (NAS), que proporcionan conexión de acceso remoto a la red de una organización o a Internet. Un ejemplo es un equipo de Windows 2000 que ejecuta el servicio Enrutamiento y acceso remoto y que proporciona los servicios tradicionales de acceso telefónico remoto o de acceso remoto de red privada virtual (VPN) a la intranet de una organización. Puntos de acceso inalámbrico, que proporcionan acceso de nivel físico a la red de una organización, por medio de tecnologías inalámbricas de transmisión y recepción. Conmutadores que proporcionan acceso de nivel físico a la red de una organización, por medio de tecnologías LAN tradicionales como Ethernet.Proxy RADIUSUn proxy RADIUS es un dispositivo que reenvía o enruta peticiones de conexión y mensajes deadministración de cuentas RADIUS entre clientes RADIUS (y proxy RADIUS) y servidoresRADIUS (o proxy RADIUS). El proxy RADIUS utiliza la información que contiene el mensajeRADIUS, como los atributos RADIUS User-Name o Called-Station-ID, para enrutar el mensajeRADIUS al servidor RADIUS adecuado.Un proxy RADIUS se puede utilizar como punto de reenvío de los mensajes RADIUS cuando laautenticación, la autorización y la administración de cuentas deben tener lugar en variosservidores RADIUS de diferentes organizaciones.
  3. 3. Servidores RADIUSUn servidor RADIUS es un dispositivo que recibe y procesa peticiones de conexión o mensajesde administración de cuentas enviados por clientes RADIUS o proxy RADIUS. En el caso delas peticiones de conexión, el servidor RADIUS procesa la lista de atributos RADIUS de lapetición de conexión. El servidor RADIUS autentica y autoriza la conexión, y devuelve unmensaje de aceptación o rechazo de acceso, basándose en un conjunto de reglas y lainformación de la base de datos de cuentas de usuario. El mensaje de aceptación de accesopuede contener restricciones de conexión que implementa el servidor de acceso durante eltranscurso de la conexión.Bases de datos de cuentas de usuarioLa base de datos de cuentas de usuario es la lista de cuentas de usuario, junto con suspropiedades, que un servidor RADIUS puede comprobar para verificar las credenciales deautenticación y las propiedades de cuentas de usuario que contienen información deparámetros de autorización y conexión.Las bases de datos de cuentas de usuario que puede utilizar IAS son el Administrador decuentas de seguridad (SAM) local, un dominio de Microsoft Windows NT 4.0 o el servicio dedirectorio de Active Directory. En Active Directory, IAS puede proporcionar autenticación yautorización de cuentas de usuario o equipo en el dominio del que el servidor IAS es miembro,en dominios de confianza bidireccional y en bosques de confianza con controladores dedominio que ejecuten Windows Server 2003, Standard Edition, Windows Server 2003,Enterprise Edition y Windows Server 2003, DatacenterEdition.Si las cuentas de usuario para autenticación residen en otro tipo de base de datos, se puedeconfigurar IAS como proxy RADIUS para reenviar la solicitud de autenticación a un servidorRADIUS que no tenga acceso a la base de datos de cuentas de usuario. Otras bases de datospara Active Directory incluyen bosques en los que no se confía, dominios en los que no seconfía o dominios de confianza unidireccional.IEEE 802.1XLa IEEE 802.1X es una norma del IEEE para el control de acceso a red basada en puertos. Esparte del grupo de protocolos IEEE 802 (IEEE 802.1). Permite la autenticación de dispositivosconectados a un puerto LAN, estableciendo una conexión punto a punto o previniendo elacceso por ese puerto si la autenticación falla. Es utilizado en algunos puntos deacceso inalámbricos cerrados y se basa en el protocolo de autenticación extensible (EAP– RFC2284). El RFC 2284 ha sido declarado obsoleto en favor del RFC 3748.802.1X está disponible en ciertos conmutadores de red y puede configurarse para autenticarnodos que están equipados con software suplicante. Esto elimina el acceso no autorizado a lared al nivel de la capa de enlace de datos.Algunos proveedores están implementando 802.1X en puntos de acceso inalámbricos quepueden utilizarse en ciertas situaciones en las cuales el punto de acceso necesita operarsecomo un punto de acceso cerrado, corrigiendo deficiencias de seguridad de WEP. Esta
  4. 4. autenticación es realizada normalmente por un tercero, tal como un servidor de RADIUS. Estopermite la autenticación sólo del cliente o, más apropiadamente, una autenticación mutuafuerte utilizando protocolos como EAP-TLS.Certificado digitalUn certificado digital (también conocido como certificado de clave pública o certificado deidentidad) es un documento digital mediante el cual un tercero confiable (una autoridad decertificación) garantiza la vinculación entre la identidad de un sujeto o entidad (por ejemplo:nombre, dirección y otros aspectos de identificación) y una clave pública.Este tipo de certificados se emplea para comprobar que una clave pública pertenece a unindividuo o entidad. La existencia de firmas en los certificados aseguran por parte del firmantedel certificado (una autoridad de certificación, por ejemplo) que la información de identidad y laclave pública perteneciente al usuario o entidad referida en el certificado digital estánvinculadas.Un aspecto fundamental es que el certificado para cumplir la función de identificación yautenticación necesita del uso de la clave privada (que sólo el titular conoce). El certificado y laclave pública se consideran información no sensible que puede distribuirse a terceros. Elcertificado sin más no puede ser utilizado como medio de identificación, pero es una piezaimprescindible en los protocolos usados para autenticar a las partes de una comunicacióndigital, al garantizar la relación entre una clave pública y una identidad.El ejemplo por excelencia es la firma electrónica: aquí el titular tiene que utilizar su claveprivada para crear una firma electrónica. A esta firma se le adjuntará el certificado. El receptordel documento que quiera comprobar la autenticidad de la identidad del firmante necesitarála clave pública que acompaña al certificado para que a través de una serie de operacionescriptográfica se compruebe que es la pareja de la clave privada utilizada en la firma. Es estaoperación de asociación al dato secreto del firmante lo que hará la función de comprobar suidentidad.Si bien existen variados formatos para certificados digitales, los más comúnmente empleadosse rigen por el estándar UIT-T X.509. El certificado debe contener al menos lo siguiente: La identidad del propietario del certificado (identidad a certificar), La clave pública asociada a esa identidad, La identidad de la entidad que expide y firma el certificado, El algoritmo criptográfico usado para firmar el certificado.
  5. 5. Los dos primeros apartados son el contenido fundamental del certificado (identidad y clavepública asociada), en tanto que los otros dos son datos imprescindibles para poder validar elcertificado.Esta información se firma de forma digital por la autoridad emisora del certificado. De esaforma, el receptor puede verificar que esta última ha establecido realmente la asociación.

×