Instalación y configuración de servidor RADIUS.

Se conoce como servidor RADIUS a cualquier equipo que tenga instalado el rol de NPS (Network Policy Server), el cual te facilita la creación y aplicación de políticas de acceso a la red de toda la organización, otorgando a esas conexiones un control de autorización, autenticación y registro de actividad.

A la hora de realizar cualquier implementación del protocolo RADIUS hay que tener en cuenta el tipo de infraestructura que vamos a necesitar.

Para cualquier tipo de instalación nos será necesario tener un RADIUS Server que realizará las tareas que explicamos anteriormente, y un RADIUS Client normalmente denominado servidor NAS (Network Access Server), puede ser un router, firewall, un switch o incluso un servidor con el rol de Remote Access. Este NAS será el encargado de redireccionar las peticiones al Server RADIUS. Por ejemplo, si las peticiones son sin cifrar estas se enviarán a través del puerto 1812 y si son cifradas a través del puerto 1645.

Pero si debido a la estructura de nuestro entorno tenemos múltiples dominios también nos será necesario utilizar un RADIUS proxy para redirigir las peticiones recibidas por el RADIUS Client a sus correspondientes RADIUS Servers. También se podrían tener varios servidores y en base a la prioridad y al peso que se vayan balanceando la carga de las peticiones. Si la prioridad es la misma en los RADIUS Servers se balancea la carga en base al peso

Una de las ventajas que tenemos al utilizar un RADIUS server es la amplia variedad de escenarios que se pueden aplicar, ya sean:

  • A nivel de autenticación (PAP, CHAP, MS-CHAPv2 o EAP), teniendo en cuenta que se deberá configurar de la misma forma tanto en el Server RADIUS, en el RADIUS Client y en la VPN que se configure en el equipo de usuario final.
  • A nivel de cifrado (PPTP, L2TP, SSTP, IPSec o IKEv2) teniendo presente que los puertos que utilizan estos protocolos deberán están abiertos o a la escucha en el firewall.
  • A nivel de condiciones, pudiendo filtrar a través de grupos de Windows, usuarios, restricciones horarias, tipo de router, etc.
  • A nivel de limitaciones podemos establecer restricciones de inactividad, fecha y hora, tiempo de sesión, etc.
  • A nivel de configuración, las cuales se aplican una vez se hayan cumplido las condiciones, las limitaciones y la política ya nos de acceso. Podremos por ejemplo, filtrar basándonos en direcciones IP.

Por último, también podemos configurar donde se almacena la información de logging y de accounting, tanto si queremos almacenarla en:

  1. Una base de datos en un servidor SQL
  2. En un archivo de texto en la maquina local.
  3. Simultáneamente en un servidor SQL y un archivo de texto en la máquina local

Eso no significa que el servidor Radius no tenga ciertas debilidades debido al uso del protocolo UDP facilita la falsificación de paquetes y ataques de inyección de paquetes. Siendo especialmente vulnerable a las siguientes categorías de ataques:

  • Ataques de fuerza bruta sobre las credenciales del usuario.
  • Denegación de servicios.
  • Ataques de repetición de sesión.
  • Inyección de paquetes.

Autor/a: Sergio Morgado Pino

Curso: Microsoft MCSA Windows Server 2016 + Microsoft MCSE Cloud Platform & Infrastructure

Centro: Tajamar

Año académico: 2018-2019

Leave a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.