CAPÍTULO 1 SEGURIDAD Y AUTENTICACIÓN
1.10. RADIUS
RADIUS son las siglas de Remote Authentication Dial-Up Server, que significa Servidor de Autenticación de Autorización Remota para sistemas de Marcado Telefónico a Redes. Este nombre proviene de sus comienzos, donde su único uso era el acceso a redes a través de MÓDEM, pero actualmente su funcionalidad es mucho más amplia.
Capítulo 1. Seguridad y autenticación
34
El motivo por el cual RADIUS es el protocolo AAA hegemónico en la actualidad no es solamente porque haya sido el primero, ni porque haya sido muy comercializado para alcanzar su globalización, sino porque ha ido creciendo y mejorando desde sus comienzos hasta el día de hoy. A pesar de algunas de sus limitaciones, ha ido adoptando una serie de mejoras que le han llegado a permitir gestionar desde pequeñas redes seguras y medianas empresas hasta redes de alto nivel [19].
1.10.1. Descripción del protocolo
RADIUS es un servicio o daemon que se ejecuta en una de las múltiples
plataformas que permite (Unix, GNU/Linux, Windows, Solaris…) y que permanece
de forma pasiva a la escucha de solicitudes de autenticación hasta que estas se producen. Para ello utiliza el protocolo UDP y permanece a la escucha en los puertos 1812 ó 1645 para la autenticación y 1813 ó 1646 para el arqueo. En un principio se utilizaban los puertos 1645 y 1646 para RADIUS, pero tras la publicación de la RFC 2865 se utilizan por acuerdo 1812 y 1813 debido a que el
1645 estaba siendo utilizado por otro servicio “datametrics”. Algunos servidores
como Freeradius utilizan el puerto UDP 1814 para la escucha de respuestas Proxy RADIUS de otros servidores.
RADIUS está basado en un modelo cliente-servidor, ya que RADIUS escucha y espera de forma pasiva las solicitudes de sus clientes o NAS, a las que responderá de forma inmediata. En este modelo el cliente es el responsable del envío y de la correcta recepción de las solicitudes de acceso, y es el servidor RADIUS el responsable de verificar las credenciales del usuario y de ser correctas, de enviar al NAS los parámetros de conexión necesarios para presentar el servicio.
El motivo por el cual RADIUS justifica el uso de UDP sobre TCP en su RFC (Petición De Comentarios, Request for Comments) es por el aprovechamiento de las normativas del protocolo UDP, que mantiene una copia del paquete de solicitud sobre la capa de transporte a fin de poder recuperarlo para reenviarlo, si fuera necesario, a otro servidor RADIUS si el primero no estuviera disponible. De
Capítulo 1. Seguridad y autenticación
35
esta manera se simplifica el diseño del protocolo, evitando tener que hacerse cargo del control de llegada de esos paquetes a su destino. Para aprovechar esta
simplicidad se utiliza la característica de UDP de ser “sin cable”. Las
retransmisiones se pueden hacer más rápidamente hacia otros servidores, ya que el puerto no quedará colapsado por el control de la conexión, evitándose las esperas necesarias en el protocolo TCP.
Dispone de una muy extensa variedad de módulos de autenticación, encargados de completar un proceso de autenticación con todo lo que ello conlleva. En una comunicación RADIUS nunca se enviarán las contraseñas en texto claro, incluso en sus versiones más antiguas se utilizaba un sistema de cifrado, aunque este sistema primitivo se ha quedado ya obsoleto. Estos módulos de autenticación se han ido desarrollando a medida que el mercado ha ido demandado nuevos sistemas más seguros y fiables para la autenticación. La idea predominante es la de sustituir los métodos que se van quedando obsoletos por vulnerabilidades o problemas de seguridad por otros más actuales que ofrezcan más confianza y más posibilidades de servicio.
Es un protocolo extensible, por lo que permite la introducción mediante su sistema de atributos o variables definibles (AVP) de cualquier adaptación a cualquier nuevo equipo de cualquier fabricante. Este sistema de funcionamiento mediante atributos es uno de los principales pilares de este protocolo, ya que toda la estructura modular se basa en ellos.
1.10.2. Especificaciones de RADIUS
Como cuando acudimos a comprar un vehículo, debemos conocer cuáles son las características a tener en cuenta y conocer la función e importancia de cada una de ellas. Para ello, comenzaríamos descargando de Internet o solicitando folletos y especificaciones de cada una de las opciones que vayamos a considerar [19].
Pero, básicamente, ¿qué especificaciones mínimas debe ofrecer un servidor RADIUS propicio para la aplicación a la que va a ir destinado?
Capítulo 1. Seguridad y autenticación
36
Cumplir la función para la cual se va a adquirir.
Incluir todas las tecnologías necesarias para que pueda cubrir las
necesidades del usuario final de la autenticación, a través de cualquier sistema operativo y/o plataforma segura.
Soportar y ser soportado por todas las plataformas de hardware que
utilicemos en la infraestructura interna de red, como equipos de electrónica de Red, NAS, Plataformas de PPP, ADSL, GSM, Wi-Fi, Wi-Max, enrutadores, etc.
Soportar el sistema o sistema de base de datos o servicio de directorios que
hayamos elegido para gestión de usuarios y de arqueo de cuentas.
Disponer de la arquitectura adecuada para la instalación en la plataforma
servidora elegida.
Disponer de las librerías de programación y personalización adecuadas
para la personalización de sistemas como PHP, Java, Perl, Python, etc.
Ser fácilmente configurable y administrable.
Fidelidad a los estándares y RFC, que los regulan.
Ser transportable y migrable a otros entornos.
Todas estas características, dependiendo del tipo de implementación que necesitemos, son las que definen a RADIUS o a cualquier servidor AAA.