El propósito principal del protocolo RADIUS es proteger a nuestros elementos de red de accesos no autorizados, autenticar y autorizar a usuarios válidos para que puedan realizar su trabajo además conocer que actividades realizo para llevar un control de las actividades en la red. Conozcamos entonces al protocolo RADIUS.
AAA se puede implementar utilizando múltiples protocolos. RADIUS se utiliza con mayor frecuencia en escenarios reales.
RADIUS es un protocolo que utiliza el modelo cliente / servidor en modo distribuido y protege una red de accesos no autorizados. A menudo se usa en redes que requieren alta seguridad y control de acceso de usuarios remotos. Define el formato del paquete RADIUS basado en UDP y el mecanismo de transmisión, y especifica los puertos UDP 1812 y 1813 como los puertos predeterminados de autenticación y contabilidad respectivamente.
Al principio, RADIUS era solo el protocolo AAA utilizado para los usuarios de acceso telefónico. A medida que los modos de acceso de los usuarios se diversifican, como el acceso a Ethernet, RADIUS también se puede aplicar a estos modos de acceso. RADIUS proporciona el servicio de acceso a través de la autenticación y autorización y registra el uso de recursos de red de los usuarios a través de la contabilidad.
RADIUS tiene las siguientes características:
• Modelo cliente / servidor
• Mecanismo de intercambio de mensajes seguro
• Escalabilidad fina
Modelo Cliente/Servidor
• Cliente RADIUS
Los clientes RADIUS se ejecutan en el NAS para transmitir información de usuario a un servidor RADIUS específico y procesar solicitudes (por ejemplo, permitir o rechazar solicitudes de acceso de usuarios) según las respuestas del servidor. Los clientes RADIUS pueden ubicarse en cualquier nodo de una red.
Como cliente RADIUS, un elemento de red admite:
◾El protocolo estándar RADIUS y sus extensiones, incluyendo RFC 2865 y RFC 2866
◾Huawei extendió los atributos de RADIUS
◾Detección de estado del servidor RADIUS
◾ Retransmisión de paquetes de solicitud de contabilidad (parada) en el búfer local
◾ Funciones activas / en espera y de equilibrio de carga entre servidores RADIUS
•Servidor de RADIUS
Los servidores RADIUS normalmente se ejecutan en computadoras centrales y estaciones de trabajo para mantener la autenticación del usuario y la información de acceso al servicio de red. Los servidores reciben solicitudes de conexión de los usuarios, autentican a los usuarios y envían a los clientes toda la información requerida (como permitir o rechazar solicitudes de autenticación). Un servidor RADIUS generalmente necesita mantener tres bases de datos, como se muestra en la Figura 1.
Figura 1 Bases de datos mantenidas por un servidor RADIUS
◾Usuarios: esta base de datos almacena información del usuario, como nombres de usuario, contraseñas, protocolos y direcciones IP.
◾Clientes: esta base de datos almacena información del cliente RADIUS, como las claves compartidas y las direcciones IP.
◾Diccionario: esta base de datos almacena los atributos en el protocolo RADIUS y sus descripciones de valores.
Mecanismo de intercambio seguro de mensajes
Los mensajes de autenticación entre un servidor RADIUS y los clientes RADIUS se intercambian mediante una clave compartida. La clave compartida es una cadena de caracteres que se transmite en modo out-of-band, que tanto los clientes como el servidor conocen, y no es necesario que se transmita de forma independiente en la red.
Un paquete RADIUS tiene un campo de autentificación de 16 octetos que contiene los datos de la firma digital de todo el paquete. Los datos de la firma se calculan utilizando el algoritmo MD5 y la clave compartida. El receptor de paquetes RADIUS necesita verificar si la firma es correcta y descarta el paquete si la firma es incorrecta.
Este mecanismo mejora la seguridad del intercambio de mensajes entre los clientes RADIUS y el servidor RADIUS. Además, las contraseñas de usuario contenidas en los paquetes RADIUS se cifran utilizando claves compartidas antes de que se transmitan los paquetes para evitar que las contraseñas de usuario se roben durante la transmisión en una red insegura.
Escalabilidad fina
Un paquete RADIUS consiste en un encabezado de paquete y un cierto número de atributos. La implementación del protocolo permanece sin cambios incluso si se agregan nuevos atributos a un paquete RADIUS.
En resumen el protocolo RADIUS es el más utilizado en nuestros días y en los equipos de Huawei contamos con diversas configuraciones en diferentes equipos que nos permite utilizar y aprovechar este protocolo para proteger a nuestra red.
FIN
También te puede interesar:
Conociendo el concepto de HWTACACS en el ámbito de la seguridad informática
Compilación de publicaciones sobre la solución de seguridad NIP6000 de Huawei
Escenario de aplicación típica del firewall como cliente DNS
Conoce más de esta línea de productos en:
Controlador de red eSight
O pregúntale al robot inteligente de Huawei, conócelo aquí:
Infografía: Conoce a iKnow, el robot inteligente
