RADIUS, es un protocolo de autenticación cliente-servidor de usuarios remotos, proviene de las siglas Remote Authentication Dial-In User Services, sus funciones son:

  • Authentication: Verifica la identidad de un equipo o usuario que trata de conectarse. Para ello se pueden usar varios métodos, certificados o usuario/contraseña.
  • Authorization: Comprueba los permisos y privilegios del equipo o usuario que realiza la conexión.
  • Accounting: Registra la actividad de un equipo o usuario que haya sido previamente autenticado y autorizado para acceder a nuestra red.

Un sistema RADIUS, esta formado por dos elementos de red:

  • Servidor RADIUS: Este servidor, es el que realizara las tareas de autenticación, autorización y registro, basándose en unas políticas de seguridad, las cuales se configuraran en el rol NPS (Network Policy Server) en dicho equipo. Este servidor usara varios recursos de autenticación, como pueden ser bases de datos LDAP o SQL.
  • Cliente RADIUS: También llamado NAS (Network Access Server), es el encargado de proporcionar acceso a la red, al usuario o equipo, que realizara la consulta contra el servidor RADIUS y una vez validado, permitirá que la conexión se lleve a cabo.

NAS

En este esquema, se puede ver como se realiza la conexión desde el usuario al NAS y como este realiza la conexión.

Entre las ventajas que presenta este sistema, es que el cliente, solo necesita tener configurado un protocolo de comunicación con RADIUS, ya sea PAP, CHAP, EAP. También presenta una ventaja en lo que a seguridad se refiere, ya que las contraseñas no se transmiten directamente por la red, si no que se usan algoritmos para ocultarlas, aun así, se pueden usar protocolos como IPSEC, o el uso de certificados y SSTP, haciendo la comunicación aún mucho más segura. Por otro lado, como desventaja, es necesario un número mínimo de dos servidores para montar, dicha configuración.

En el caso de que tengamos una gran infraestructura, con multitud de dominios, se usa un servidor Proxy RADIUS, en el cual podemos tener varios servidores que realicen las tareas de autenticación, autorización y registro de actividad, en función del dominio del que formen parte, para así aplicarse las políticas concretas de cada zona, teniendo un punto centralizado que sea el que les derive los intentos de conexión de los usuarios o equipos. Dichas políticas se instalan a partir del rol NPS, poder configurar dos tipos de políticas para realizar la conexión:

  • Network Policies, que establecen los criterios de conexión para nuestra red.
  • Connection Request Policies, que son las que se usan para crear políticas de conexión proxy radius.
Proxy

En este esquema, se puede ver como se realiza la conexión desde el usuario al Proxy RADIUS y como este redirige las peticiones a un dominio u otro.

Los comandos para instalar los roles que hemos indicado anteriorermente son:

Install-WindowsFeature -name NPAS -IncludeAllSubFeature -IncludeManagementTools

Este comando instalara el rol de Network Policies and Access Services, en el Servidor Radius.

New-NpsRadiusClient -Name     -Address    -VendorName     -Sharesecret

Este comando, configurara un cliente Radius, donde:

Name, será el nombre que le daremos a la maquina que usaremos como cliente.

Address será la Ip de dicha maquina.

VendorName será el tipo de radius que usaremos.

Sharesecret la contraseña para establecer la conexión.

Con estos comandos, ya tendriamos instalado el Servidor y Cliente Radius, lo siguiente seria configurar las políticas de seguridad, un cliente para conectarse por VPN y realizar la conexion.

Autor: Félix García Poce

Curso: Microsoft MCSA Windows Server 2016 + Azure + AWS

Centro: Tajamar

Año académico: 2019-2020

Leave a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.