Los servidores RADIUS son ampliamente utilizados por muchas instituciones que proporcionan conectividad WiFi con autenticación WPA2/WPA3-Enterprise, es decir, una autenticación donde tendremos un nombre de usuario/contraseña o certificado digital para autenticarnos en la red inalámbrica. También es ampliamente usado por los operadores para el acceso de Internet, por los servicios de VPN para autenticar de forma fácil y rápida a los diferentes clientes VPN con nombre de usuario/contraseña, e incluso para la autenticación por Ethernet usando el estándar 802.1X. ¿Quieres conocer en detalle qué es y para qué sirve un servidor RADIUS?
Si eres de los que están interesados en conocer de lleno qué es un servidor RADIUS, en RedesZone podrás encontrar toda la información al detalle. Desde sus principales funcionalidades, hasta sus aplicaciones y el rendimiento de este tipo de servidor en particular. De esta manera, será más fácil que nunca comprender cómo funciona y, sobre todo, tendrás una visión global de RADIUS.
¿Qué es un servidor RADIUS y para qué sirve?
RADIUS (del inglés Remote Access Dial In User Service) es un protocolo que destaca por ofrecer un mecanismo de seguridad, flexibilidad, capacidad de expansión y una administración simplificada de las credenciales de acceso a un recurso de red. Es un protocolo de autenticación y autorización para el acceso a la red, este protocolo utiliza un esquema cliente-servidor, es decir, un usuario con unas credenciales de acceso al recurso se conecta contra un servidor que será el que se encargue de verificar la autenticidad de la información, y será el encargado de determinar si el usuario accede o no al recurso compartido.
Gracias al uso de los servidores RADIUS, el administrador de red podrá controlar en todo momento el inicio y final del periodo de autenticación y autorización de los clientes, por ejemplo, podremos expulsar fácilmente a un usuario que ha iniciado sesión previamente por el motivo que sea.
Los servidor RADIUS son ampliamente usados por los operadores de Internet (PPPoE), pero también se utilizan mucho en las redes WiFi de hoteles, universidades o en cualquier lugar donde queramos proporcionar una seguridad adicional a la red inalámbrica, también se puede usar para autenticar a los clientes que hagan uso del protocolo 802.1X para Ethernet, e incluso también podría usarse para autenticar a los clientes VPN que nosotros deseemos, de esta forma, tendremos toda la autenticación centralizada en un único punto de forma fácil y sencilla, sin necesidad de tener varias bases de datos con diferentes datos.
Los servidores RADIUS hacen uso del protocolo en la capa de transporte UDP en el puerto 1812 para establecer las conexiones entre los equipos para autenticarse. Cuando configuramos un servidor RADIUS, podremos definir si queremos que utilice TCP o UDP, y también podremos definir el puerto a utilizar, aunque por defecto siempre es UDP 1812. En lo que se refiere a los dispositivos a utilizar, existe una gran variedad, muchos routers son capaces de ofrecer este servicio para autenticar a los clientes WiFi en un servidor RADIUS local o remoto.
Adicionalmente, se pueden utilizar servidores, OLTs e incluso servidores NAS, las posibilidades son realmente amplias, lo que permite que montar un servidor RADIUS no sea algo prohibitivo para un usuario, ni tampoco complicado, porque los fabricantes de servidores NAS ya incorporan internamente un servidor RADIUS fácilmente configurable. Los servidores RADIUS generalmente hacen uso de protocolos de autenticación como PAP, CHAP o EAP, por supuesto, estos protocolos nos permiten controlar las sesiones, tanto cuando comienza la autenticación, mientras la sesión actual como también cómo acaba la conexión.
De entre las ventajas que ofrece este tipo de servidor, lo cierto es que se incluyen algunas tan importantes como las siguientes:
- Tener una mayor seguridad.
- Escalabilidad al tener la opción de controlar una cantidad de usuarios.
- Ahorro de costes.
- Controlar el acceso.
- Gestión centralizadas de las cuentas de los usuarios y la autenticación en un único lugar.
Principales características
Hay que tener en cuenta que un servidor RADIUS se usa para autorizar a los usuarios que intentan acceder a una red o servicio. Por lo tanto, de entre sus características más comunes se pueden encontrar las siguientes:
- Ofrece compatibilidad con diferentes protocolos de autenticación como es el caso de PPP, VPN o Wi-Fi.
- También permite la integración con sistemas de autenticación que son externos como Active Directory o LDAP.
- Ofrece la capacidad de usar métodos de autenticación adicionales como podría ser el caso de tokens de un único uso o de hasta certificados digitales.
- Te permitirá monitorear, es decir, te da la posibilidad de registrar y controlar el acceso de los usuarios, al igual que permite la detección de intentos de inicio de sesión que sean fallidos.
- Almacena información sobre los perfiles de los usuarios y consigue asignar configuraciones de red más específicas a distintos grupos de usuarios.
Desventajas de un servidor RADIUS
Pese a que este tipo de servidores están pensados para ofrecer ventajas, también tienen algunos inconvenientes que debemos conocer antes de meternos en ellos, pese a que no sean tan importantes como sus pros. Vamos a verlos:
- Complejidad de configuración: Si estás leyendo este artículo, y no sabes muy bien cómo funcionan y para qué sirven estos servidores, lo más normal es que no tengas mucha experiencia y conocimiento, por tanto, su configuración no será nada sencilla, y podría darte bastantes quebraderos de cabeza que todo se implementase correctamente, ya que no es tan fácil como abrir un programa y listo.
- Coste: Todo servidor tiene un coste, tanto de hardware como de software, sobre todo dependiendo del uso que le demos y la magnitud del mismo.
- Problemas de seguridad: Sobre todo, en caso de no ser expertos configurando este tipo de servidores, podríamos generar una brecha de seguridad por la cual algún intruso podría acceder a nuestra red, poniendo en riesgo datos o el rendimiento de la misma.
- Escalabilidad limitada: Pese a ser un buen sistema, si hablamos de escalabilidad a niveles superiores, donde manejar grandes volúmenes de usuarios o transacciones simultáneas, podríamos comenzar a ver limitaciones de manera rápida.
- Dependencia de la red: Aunque es muy obvio, hay que comentarlo, y es que un error en la red, o una caída de la misma, provocaría que el servidor no funcionase, aparte de la necesidad de nuestra propia conexión.
- Mantenimiento: Pese a no ser uno de los servidores que más mantenimiento necesite, sí que es cierto que hay que controlar parches de seguridad, actualizaciones, monitoreo de posibles problemas, etc, por tanto, también necesita un mantenimiento regular.
Así que nada, ya conoces un poco los principales problemas de este servidor, que pese a no ser muy graves, hay que tener en cuenta.
Funciones de un servidor RADIUS y aplicaciones
En primer lugar, un servidor RADIUS ofrece un mecanismo de autenticación de usuarios para acceder a un sistema, ya sea a una red cableada usando el protocolo 802.1X, a una red WIFi si tenemos autenticación WPA2/WPA3-Enterprise, e incluso a un servidor OpenVPN si lo tenemos configurado correctamente para obtener la base de datos de clientes que se pueden conectar a través de este servidor RADIUS.
Pasado el proceso de «Autenticación», tenemos el proceso de «Autorización», que no es lo mismo. Una cosa es que podamos autenticarnos en un sistema, y otra muy distinta es que tengamos la autorización para realizar ciertas acciones. Después de la autenticación y autorización tenemos el «Accounting», esto sirve para realizar un análisis del tiempo de la sesión y registrar estadísticas que posteriormente se pueden utilizar para realizar cobros, o simplemente realizar reportes informativos.
Hemos indicado que los operadores lo utilizan para que los routers domésticos de los usuarios se autentiquen, y así acceder al recurso de red que en esta ocasión les permite el acceso a Internet. Pero uno de los usos por excelencia de este servidor y protocolo es garantizar el acceso restringido a las redes inalámbricas, hoteles, restaurantes, colegios, bibliotecas, y así hasta completar un largo listado de aplicaciones.
En estos casos, los responsables de administración de la red generan unas credenciales temporales que permiten el acceso limitado en lo que se refiere a temporalidad, una vez sobrepasada la fecha fijada, las credenciales no tendrán vigencia y el servidor RADIUS no validará la utilización de la red. La gestión es muy variada, se pueden utilizar directorios activos o bien bases de datos que pertenezcan a aplicaciones transversales.
Grupos RADIUS
Cuando configuramos la autenticación RADIOS, se pueden definir ciertos atributos. Estos leen el número del Atributo Grupo, el cual especifica una configuración que determina qué atributo de RADIUS lleva toda esa información del grupo. Luego se reconoce el atributo en el número, el cual se atribuye al Atributo Grupo. Cuando se realiza una configuración del servidor, no es recomendable alterar este valor.
Seguido, cuando se recibe un mensaje de Acceso de RADIUS, se lee el valor del atributo, y este es usado para asociar a un usuario a un grupo. Por lo cual el valor de dicho atributo, es el nombre del grupo donde el dispositivo va a situar al usuario que ha solicitado acceso.
En este caso, los grupos no son lo mismo que los que podemos realizar en Windows definidos por un controlador de dominio, y en general, que ningún grupo que pueda existir en la base de datos de los usuarios del dominio en cuestión. Los grupos RADIUS, son solo grupos lógicos que determinan a los usuarios que utilizan un servicio.
Por otro lado, los valores se pueden hacer coincidir con los nombres de los grupos locales o de dominio, de forma que facilita la organización en muchos aspectos, pero no es algo totalmente necesario. En todo caso, puede ser recomendable que se utilicen nombres descriptivos, para ayudar a recordar mejor como se definieron dichos grupos de usuarios. Esto son sobre todo funciones de organización, las cuales están orientadas a los administradores, pues para los usuarios pasa totalmente desapercibido exceptuando los permisos que contenga cada grupo y se apliquen a estos.
Estos grupos son especialmente útiles cuando tenemos una gran cantidad de usuarios que necesitan autenticarse. Al colocar a estos en grupos lógicos, sus accesos se pueden administrar a muchos niveles de una forma más sencilla. Esto se realiza a través de políticas de acceso a recursos.
Rendimiento de un servidor RADIUS
Siempre y cuando hablamos de servidores, el rendimiento es un aspecto fundamental. No es menos en los servidores RADIUS, donde es un aspecto muy importante a tener en cuenta. Una mala configuración del mismo, puede llevar a que se ocasionen sobrecargas que afecten al rendimiento de una forma considerable. Por lo cual, el servicio ofrecido se devaluará de una forma importante. Pero por lo general, el rendimiento de los servidores RADIUS depende de varios factores.
- Procesamiento: La capacidad de procesamiento de los servidores RADIUS es muy importante, ya que necesitan poder ser capaces de procesar de forma rápida, grandes cantidades de solicitudes de autenticación. Por lo cual, estamos ante un punto que determina en gran parte el rendimiento del mismo. Actualmente, los más modernos utilizan diferentes técnicas de distribución de carga, de forma que se puede realizar una gestión mucho mejor de las solicitudes que debe coordinar.
- Disponibilidad de recursos: Que el servidor RADIUS tenga una buena cantidad de recursos a su disposición, es vital para que su rendimiento sea óptimo. Esto incluye los recursos de red, el ancho de banda permitido, y la latencia de la propia red. Cuando esta se encuentra congestionada o tiene alto niveles de latencia, los servidores RADIUS se verán afectados en cuanto al rendimiento.
- Usuarios y dispositivos: El número de usuarios y dispositivos que tratan de acceder a la red, influye de forma significativa en el rendimiento de los servidores RADIUS. A medida que estos aumentan en número, los servidores deben ser capaces de manejar todo ese tráfico de una forma eficiente. Procesando todas las solicitudes de autenticación que sean posibles. Si no es capaz de hacerlo, su rendimiento bajará, y afectará directamente a los usuarios que tratan de autenticarse en algún servicio. Este apartado, depende mucho de los dos previos que hemos mencionado.
¿Qué es FreeRADIUS y por qué se relaciona con servidores RADIUS?
FreeRADIUS siempre se relaciona con un servidor RADIUS porque es el software por excelencia para la instalación de un servidor RADIUS. Si tenemos que instalar un servidor RADIUS en cualquier equipo (servidores, routers, NAS etc), siempre vamos a recurrir al software FreeRADIUS debido a que es multiplataforma, y todos los sistemas operativos son compatibles con este software. Este software es compatible con todos los protocolos de autenticación habituales como PAP, CHAP, EAP, EAP-TTLS, EAP-TLS y otros. Este software es completamente modular, gratuito y nos proporcionará un gran rendimiento para la autenticación de los clientes.
Algunos módulos que podemos incorporar en FreeRADIUS es para darle compatibilidad con LDAP, MySQL, PostgreSQL e incluso Oracle y otras bases de datos, de esta forma, podremos tener una base de datos de miles de clientes sin ningún problema. Este software se configura a través de archivos de configuración de texto, sin embargo, existen interfaces gráficas de usuario para la configuración fácil y rápida como ocurre con pfSense, de esta forma, facilitará enormemente la configuración del servidor RADIUS haciendo uso de FreeRADIUS.
El software de FreeRADIUS lo podemos instalar de manera opcional en el sistema operativo pfSense, el popular firewall y router que podemos instalar en casi cualquier hardware. En ese sistema operativo podremos instalarlo en la sección de paquetes, una vez instalado, podremos entrar en su configuración en la sección de «Services / FreeRADIUS«. En este menú podremos configurar de forma avanzada este servidor RADIUS, tendremos diferentes pestañas para configurar las diferentes secciones, y en el menú de «View config» podremos ver el archivo de configuración en bruto que se genera a raíz de las configuraciones que hayamos realizado en el resto de pestañas. Aquí también podremos ver la integración con SQL e incluso con LDAP.
Los servidores NAS del fabricante QNAP disponen también de un servidor RADIUS integrado, mucho más básico que el de pfSense donde disponemos de todas las opciones de configuración, pero este servidor RADIUS basado en FreeRADIUS nos permitirá realizar usos típicos como autenticación de clientes vía WiFi o por cable, lo único que debemos hacer es habilitar el servidor RADIUS, dar de alta a los clientes RADIUS (switches o APs) y también los usuarios RADIUS (clientes finales que se van a conectar).
Tal y como habéis visto, un servidor RADIUS nos va a permitir realizar una gran cantidad de autenticaciones y autorizaciones en otros software, como en el operador si se hace uso de PPPoE, en las redes WiFi empresariales con cifrado WPA2/WPA3-Enterprise e incluso autenticación vía 802.1X. FreeRADIUS es el software por excelencia para la configuración y puesta en marcha de un servidor RADIUS en casi cualquier sistema operativo, por este motivo, siempre solemos hablar de servidor RADIUS o FreeRADIUS de forma indistinta.