VPN de tipo SSTP con autenticación RADIUS

Para comprender como funciona una VPN de tipo SSTP con autenticación RADIUS, primero tenemos que tener claro qué papel desempeña cada una de estas tecnologías.

¿Qué es una VPN?

Virtual Private Network nos permite crear una conexión segura a otra red a través de Internet, esto es debido a que la comunicación está cifrada. Utilizar una VPN nos aporta seguridad en el entorno empresarial, ya que si hay usuarios que teletrabajan y no utilizan una VPN la conexión será menos segura y estarán más expuestos, en cambio con la VPN se evita ese aspecto y tendrán acceso a la misma información que si estuvieran en la empresa.

  • Comunicación sin VPN: Salimos a través de la IP pública de nuestro router y la información viaja “abierta”, por lo tanto, somos más vulnerables a que alguien intercepte la comunicación.
SinVPN
  • Comunicación con VPN: En este caso la información viaja cifrada hasta el servidor VPN y en caso de salir a Internet lo haremos con la IP Publica del servidor VPN.
ConVPN

¿Qué aporta el protocolo SSTP en una VPN?

Las VPN utilizan protocolos para encriptar la información que se envía o recibe a través de ellas. Dependiendo que protocolo utilizamos tendremos un tipo de cifrado, un nivel de seguridad y una compatibilidad diferente.

Protocolo SSTP: Creado por Microsoft, encapsula el tráfico en un canal SSL del protocolo HTTPS, al utilizar el protocolo HTTPS no se deberán hacer cambios en los cortafuegos, ya que por lo general el puerto 443 que utiliza HTTPS está abierto. Utiliza certificados SSL/TLS para la autenticación es de 2048 bits y para el cifrado claves SSL de 256 bits.

  • Ventajas:
    • Muy seguro.
    • Soporte nativo para Windows.
    • Facilidad para superar los cortafuegos, gracias a que utiliza el puerto 443.
  • Desventajas:
    • Al ser un estándar propiedad de Microsoft nadie puede auditar completamente el código.
    • Solo disponible para sistemas operativos Windows.

¿Qué es RADIUS?

Remote Dial-In User Server es un protocolo cliente/servidor que nos permite gestionar la autenticación, autorización y registro de usuarios remotos sobre un determinado recurso. El cliente RADIUS puede ser un router o un servidor VPN, también se le denomina Network Access Server (NAS).

  • Cliente RADIUS: Es el que controla el acceso a un recurso protegido, no contiene información acerca de los usuarios que se pueden conectar, ni tampoco sus credenciales. Su función es enviar la información de petición de conexión del usuario al Servidor RADIUS.
  • Servidor RADIUS: Se encarga de actuar sobre la petición de conexión del usuario que le ha enviado el cliente RADIUS. Su trabajo consiste en:
    • Autenticación: Comprueba si el usuario tiene permiso para acceder, para ello comprueba el nombre de usuario y sus credenciales. Las credenciales pueden ser la contraseña del usuario o incluso un certificado digital.
    • Autorización: Basándose en la autenticación concederá permiso o no al usuario.
    • Registro: Incluye la identidad del usuario, el servicio que se ha prestado y la fecha de inicio y fin del uso del servicio prestado.

VPN de tipo SSTP con autenticación RADIUS: El usuario está fuera de la red empresarial, realiza la conexión por VPN, llega al servidor VPN y este que también es el NAS envía la información de la petición al servidor RADIUS para que autentique y autorice la conexión, después el servidor RADIUS devuelve la información al NAS para que le dé o no servicio, en caso de que sea favorable, el usuario estará en la red empresarial y podrá acceder a sus recursos, para navegar utilizará la IP pública que utilice el servidor VPN y no la que tiene el router de donde está el cliente VPN.

Radius

Conclusión:

Es interesante la combinación de estas tecnologías ya que aportan una mayor seguridad en las conexiones y mejor gestión del acceso a la propia red y sus recursos.

Autor: Aitor Romero Hurtado

Curso: Microsoft MCSA Windows Server 2016 + Microsoft MCSE Cloud Platform & Infrastructure

Centro: Tajamar

Año académico: 2018-2019

Leave a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.