Radius es un protocolo para transportar información relacionada con la autentificación y autorización, y es una configuración entre un servidor de acceso de red que quiere autenticar sus enlaces, y un servidor de autenticación compartido. Antes de empezar a ver lo que es un Radius en más profundidad, es importante entender dos conceptos que son importantes, y son AAA y NAS.
Las tres letras “A” definen autentificación, autorización y contabilidad. La autentificación se refiere a la confirmación de que un usuario que está pidiendo un servicio, es realmente un usuario válido. Lo hace por medio de la presentación de su identidad y unas credenciales asociadas. Estas credenciales pueden ser contraseñas, certificaciones digitales, o cualquier medio de validación que sea viable. Este es el primero paso para acceder a un área que no es pública y necesita tener controlado el acceso.
La autorización se refiere a permitir utilizar ciertos tipos de servicio específico a un usuario basándose en la autentificación que ha realizado con anterioridad. Se puede basar en restricciones, como por ejemplo restricciones de ciertas horas al día, localización física o basándose en el número de conexiones al sistema por el mismo usuario.
Para dar algunos de los servicios más comunes (aunque hay muchos más), podemos incluir el filtro por dirección IP, asignación de rutas y direcciones, encriptación, calidad de servicio, gestión de ancho banda, etc. Por último, la contabilidad (la última de las tres “A”) se refiere al seguimiento del consumo de los recursos de red por los usuarios.
La información más común que se suele almacenar es la identidad del usuario, el tipo de servicio entregado, cuando empezó dicho servicio y cuando terminó. Se suele usar para gestión, planificación y facturación entre otras cosa.
Cuando hablamos de AAA, hay que hablar también de algunos de sus protocolos que le ayudan a conseguir lo comentado anteriormente. En primero lugar tenemos TACACS, que se puede traducir como sistema de control de acceso de terminal. Es un protocolo de autentificación que se usa para comunicar con un servidor de autentificación que está localizado en algún punto de una red de ordenadores y servidores.
Este protocolo permite que un servidor de acceso remoto comunique con un servidor de autentificación para determinar si el usuario tiene acceso a la red. Es común que sea utilizado en redes basadas en Unix. Otra variante de este protocolo es TACACS+, el cual provee acceso a routers, servidores de red y otros dispositivos relacionados. Usa el protocolo TCP y provee de todos los servicios comentados en AAA.
Por otro lado, tenemos el servidor de acceso de red, el cual se suele referir como NAS. Es un servicio que el cliente puede utilizar para acceder a la red, y lo suele hacer realizando un marcado, de forma parecida a como se marca un teléfono.
Suele ser un dispositivo que tiene varios interfaces, teniendo al menos uno conectado a la red a la que se quiere acceder, y el otro a la red telefónica. Por este último interfaz, recibe las llamadas de los usuarios que quieren acceder.
Sabiendo esto, volvamos a lo que es un Radius. Como se ha dicho, es un protocolo que se encarga de la autentificación y autorización, y generalmente se usa para acceso de red tanto de forma local como móvil. Par realizar estas tareas, se ayuda de otros protocolos como pueden ser PAP y CHAP, puede hacer uso de ficheros de texto, servidores LDAP y bases de datos.
Radius es responsable de varias cosas también, como recibir y procesar peticiones de conexión, procesarlo, autenticar al usuario y devolver la información de configuración necesaria al cliente para dar el servicio que se está solicitando. Un servidor Radius puede actuar como un cliente proxy a otros servidores Radius.
En cuestión de seguridad de red, el traspaso de información entre el servidor y el cliente es realizado usando una clave compartida, y esta clave nunca es enviada sobre la red. La contraseña es encriptada antes de ser enviada sobre la red, por lo que no hay peligro de que pueda ser capturada según está yendo de un sitio a otro y pueda ser descifrada.
Otra característica de Radius es que es extensible, lo cual significa que muchas compañías usan su propio modelo de Radius, tanto a nivel hardware como de software. Puede variar también el puerto utilizado para comunicarse.