Descubre para qué sirve un servidor RADIUS y su funcionamiento

Los servidores RADIUS son ampliamente utilizados por muchas instituciones que proporcionan conectividad WiFi con autenticación WPA2/WPA3-Enterprise, es decir, una autenticación donde tendremos un nombre de usuario/contraseña o certificado digital para autenticarnos en la red inalámbrica. También es ampliamente usado por los operadores para el acceso de Internet, por los servicios de VPN para autenticar de forma fácil y rápida a los diferentes clientes VPN con nombre de usuario/contraseña, e incluso para la autenticación por Ethernet usando el estándar 802.1X. ¿Quieres conocer en detalle qué es y para qué sirve un servidor RADIUS?

¿Qué es un servidor RADIUS y para qué sirve?

RADIUS (del inglés Remote Access Dial In User Service) es un protocolo que destaca por ofrecer un mecanismo de seguridad, flexibilidad, capacidad de expansión y una administración simplificada de las credenciales de acceso a un recurso de red. Es un protocolo de autenticación y autorización para el acceso a la red, este protocolo utiliza un esquema cliente-servidor, es decir, un usuario con unas credenciales de acceso al recurso se conecta contra un servidor que será el que se encargue de verificar la autenticidad de la información, y será el encargado de determinar si el usuario accede o no al recurso compartido. Gracias al uso de los servidores RADIUS, el administrador de red podrá controlar en todo momento el inicio y final del periodo de autenticación y autorización de los clientes, por ejemplo, podremos expulsar fácilmente a un usuario que ha iniciado sesión previamente por el motivo que sea.

Los servidor RADIUS son ampliamente usados por los operadores de Internet (PPPoE), pero también se utilizan mucho en las redes WiFi de hoteles, universidades o en cualquier lugar donde queramos proporcionar una seguridad adicional a la red inalámbrica, también se puede usar para autenticar a los clientes que hagan uso del protocolo 802.1X para Ethernet, e incluso también podría usarse para autenticar a los clientes VPN que nosotros deseemos, de esta forma, tendremos toda la autenticación centralizada en un único punto de forma fácil y sencilla, sin necesidad de tener varias bases de datos con diferentes datos.

Los servidores RADIUS hacen uso del protocolo en la capa de transporte UDP en el puerto 1812 para establecer las conexiones entre los equipos para autenticarse. Cuando configuramos un servidor RADIUS, podremos definir si queremos que utilice TCP o UDP, y también podremos definir el puerto a utilizar, aunque por defecto siempre es UDP 1812. En lo que se refiere a los dispositivos a utilizar, existe una gran variedad, muchos routers son capaces de ofrecer este servicio para autenticar a los clientes WiFi en un servidor RADIUS local o remoto. Adicionalmente, se pueden utilizar servidores, OLTs e incluso servidores NAS, las posibilidades son realmente amplias, lo que permite que montar un servidor RADIUS no sea algo prohibitivo para un usuario, ni tampoco complicado, porque los fabricantes de servidores NAS ya incorporan internamente un servidor RADIUS fácilmente configurable. Los servidores RADIUS generalmente hacen uso de protocolos de autenticación como PAP, CHAP o EAP, por supuesto, estos protocolos nos permiten controlar las sesiones, tanto cuando comienza la autenticación, mientras la sesión actual como también cómo acaba la conexión.

Funciones de un servidor RADIUS y aplicaciones

En primer lugar, un servidor RADIUS ofrece un mecanismo de autenticación de usuarios para acceder a un sistema, ya sea a una red cableada usando el protocolo 802.1X, a una red WIFi si tenemos autenticación WPA2/WPA3-Enterprise, e incluso a un servidor OpenVPN si lo tenemos configurado correctamente para obtener la base de datos de clientes que se pueden conectar a través de este servidor RADIUS.

Pasado el proceso de «Autenticación», tenemos el proceso de «Autorización», que no es lo mismo. Una cosa es que podamos autenticarnos en un sistema, y otra muy distinta es que tengamos la autorización para realizar ciertas acciones. Después de la autenticación y autorización tenemos el «Accounting», esto sirve para realizar un análisis del tiempo de la sesión y registrar estadísticas que posteriormente se pueden utilizar para realizar cobros, o simplemente realizar reportes informativos.

Hemos indicado que los operadores lo utilizan para que los routers domésticos de los usuarios se autentiquen, y así acceder al recurso de red que en esta ocasión les permite el acceso a Internet. Pero uno de los usos por excelencia de este servidor y protocolo es garantizar el acceso restringido a las redes inalámbricas, hoteles, restaurantes, colegios, bibliotecas, y así hasta completar un largo listado de aplicaciones. En estos casos, los responsables de administración de la red generan unas credenciales temporales que permiten el acceso limitado en lo que se refiere a temporalidad, una vez sobrepasada la fecha fijada, las credenciales no tendrán vigencia y el servidor RADIUS no validará la utilización de la red. La gestión es muy variada, se pueden utilizar directorios activos o bien bases de datos que pertenezcan a aplicaciones transversales.

¿Qué es FreeRADIUS y por qué se relaciona con servidores RADIUS?

FreeRADIUS siempre se relaciona con un servidor RADIUS porque es el software por excelencia para la instalación de un servidor RADIUS. Si tenemos que instalar un servidor RADIUS en cualquier equipo (servidores, routers, NAS etc), siempre vamos a recurrir al software FreeRADIUS debido a que es multiplataforma, y todos los sistemas operativos son compatibles con este software. Este software es compatible con todos los protocolos de autenticación habituales como PAP, CHAP, EAP, EAP-TTLS, EAP-TLS y otros. Este software es completamente modular, gratuito y nos proporcionará un gran rendimiento para la autenticación de los clientes.

Algunos módulos que podemos incorporar en FreeRADIUS es para darle compatibilidad con LDAP, MySQL, PostgreSQL e incluso Oracle y otras bases de datos, de esta forma, podremos tener una base de datos de miles de clientes sin ningún problema. Este software se configura a través de archivos de configuración de texto, sin embargo, existen interfaces gráficas de usuario para la configuración fácil y rápida como ocurre con pfSense, de esta forma, facilitará enormemente la configuración del servidor RADIUS haciendo uso de FreeRADIUS.

El software de FreeRADIUS lo podemos instalar de manera opcional en el sistema operativo pfSense, el popular firewall y router que podemos instalar en casi cualquier hardware. En ese sistema operativo podremos instalarlo en la sección de paquetes, una vez instalado, podremos entrar en su configuración en la sección de «Services / FreeRADIUS«. En este menú podremos configurar de forma avanzada este servidor RADIUS, tendremos diferentes pestañas para configurar las diferentes secciones, y en el menú de «View config» podremos ver el archivo de configuración en bruto que se genera a raíz de las configuraciones que hayamos realizado en el resto de pestañas. Aquí también podremos ver la integración con SQL e incluso con LDAP.

Los servidores NAS del fabricante QNAP disponen también de un servidor RADIUS integrado, mucho más básico que el de pfSense donde disponemos de todas las opciones de configuración, pero este servidor RADIUS basado en FreeRADIUS nos permitirá realizar usos típicos como autenticación de clientes vía WiFi o por cable, lo único que debemos hacer es habilitar el servidor RADIUS, dar de alta a los clientes RADIUS (switches o APs) y también los usuarios RADIUS (clientes finales que se van a conectar).

Tal y como habéis visto, un servidor RADIUS nos va a permitir realizar una gran cantidad de autenticaciones y autorizaciones en otros software, como en el operador si se hace uso de PPPoE, en las redes WiFi empresariales con cifrado WPA2/WPA3-Enterprise e incluso autenticación vía 802.1X. FreeRADIUS es el software por excelencia para la configuración y puesta en marcha de un servidor RADIUS en casi cualquier sistema operativo, por este motivo, siempre solemos hablar de servidor RADIUS o FreeRADIUS de forma indistinta.

¡Sé el primero en comentar!