Hoy hablaremos de las tecnologías triple A, y las diferencias entre algunas de ellas. En primer lugar, y en este post hablaremos de Radius. Mientras que en sucesivos posts trataremos a Diameter y Tacacs+, para finalizar con una comparativa.
Radius
Este protocolo permite distribuir
el acceso remoto seguro a redes y a servicios de red que no tienen autorización
de acceso. El protocolo se divide en tres componentes diferenciados:
- Utiliza
un servicio no fiable UDP en su capa de transporte. Este hecho es una desventaja
clara respecto a los otros protocolos que estudiamos en este ejercicio.
-
Un
servidor.
-
Un
cliente.
El servidor se ejecuta en un ordenador central,
mientras que los clientes se encuentran distribuidos por la red. Un NAS,
Network Access Server opera como un cliente RADIUS. El cliente es responsable
de pasarle la información de usuario al servidor, y después actuar sobre la
respuesta que le proporciona el servidor. El servidor se encarga de recibir las
peticiones de usuarios, autenticar a los usuarios y devolver la información de
configuración para ofrecer el servicio al usuario final.
Las transacciones entre el cliente y el servidor
RADIUS (no confundir con los clientes finales, al cliente NAS) deben ir
autenticadas usadas una clave compartida o secreto, el cual no es enviado nunca
por la red. Las contraseñas de usuario son cifradas entre el cliente y el
servidor RADIUS. De este modo se evita que se pueda hacer snooping o sniffing
en una red insegura.
Los servidores RADIUS
soportan bastantes métodos de autenticación de usuarios. Por ejemplo, PPP, PAP,
CHAP, Login UNIX, etcétera. El dar tanto soporte a este tipo de métodos es algo
a favor de RADIUS.
El resumen de RADIUS es el siguiente:
|
RADIUS
|
|
UDP
|
|
Cliente/Servidor
|
|
Solicitud/Respuesta del cliente
al servidor
|
|
Solo contraseñas en las
respuestas de acceso. El resto de información puede ser vulnerada.
|
|
Secreto compartido con MD5
|
|
Limitado
|
|
No útil, ya que el usuario no
tiene el control del comando
|
|
Combinado en el mismo perfil.
Los paquetes contienen ambas informaciones
|
En el próximo artículo trataremos de DIAMETER y TACACS+, interesantes soluciones para quienes quieran mejorar RADIUS.
muy interesante
ResponderEliminar