| Artículos | 01 DIC 2006

Validacion para acceso remoto en Windows: Radius

Tags: Histórico
Juan Blázquez.
La movilidad de los usuarios conectando en remoto por diversos medios es una realidad asequible para redes de cualquier tamaño y complejidad. Sin embargo, plantea algunos problemas para gestionar cómodamente su seguridad. Radius es una de las herramientas que ayuda a resolver fácilmente esta problemática, y está disponible en Windows 200x.

El desarrollo de las comunicaciones y su abaratamiento han traído como consecuencia la posibilidad de utilizar distintas vías para que los usuarios puedan conectar con la red propia en remoto. No es raro, hoy por hoy, que organizaciones de cualquier tamaño y objetivo de negocio tengan simultáneamente conectados, desde fuera de sus instalaciones, a empleados, proveedores y clientes, utilizando distintos medios de conexión, como puede ser el teléfono o ADSL. Unas posibilidades de conexión que abren también nuevas necesidades de gestión en aspectos tan importantes como es la autorización de acceso y el control de esas conexiones.
Distintas puertas de entrada, gestionadas de manera independiente, plantean un mayor esfuerzo de administración y elevan el riesgo en la seguridad. Para reducir ese riesgo y simplificar su administración es necesario contar con alguna herramienta que permita centralizar la validación y el control de las distintas formas de conexión disponibles. Hoy por hoy, no es raro que un empleado se conecte a la red de la compañía con su portátil desde su casa, utilizando un túnel VPN abierto sobre una conexión ADSL. Tampoco extraña que ese usuario se desplace a la oficina y conecte el mismo portátil, sin cables, a un punto de acceso inalámbrico. Incluso, si se desplaza a otra ciudad, es posible que pueda conectarse por módem, desde el hotel. Posibilidades de conexión tan cotidianas que resultan triviales. Sin embargo, para el encargado de esas conexiones seguro que no le resulta tan banal tener que preocuparse de configurar la cuenta y condiciones de conexión de los empleados en tres sistemas distintos. Mantener la movilidad de los usuarios con un buen nivel de servicio a costa de la salud del administrador de comunicaciones, no es la mejor solución. El medio para evitar la problemática de la validación y control de distintas puertas de entrada a la red, es centralizar estas operaciones de forma que todos los puntos de acceso consulten un único repositorio de información. Esto es posible utilizando el protocolo RADIUS.
Remote Authenticatin Dial-in User Service, RADIUS, Servicio de Autenticación de Usuario en Acceso Remoto, es un protocolo que permite centralizar la autenticación, autorización y contabilidad del acceso remoto de los usuarios a la red. Aunque inicialmente fue diseñado para controlar este tipo de acceso por módem, el desarrollo de las comunicaciones y la incorporación de nuevas modalidades de acceso han obligado a extender sus capacidades de funcionamiento y, en la actualidad, es posible utilizarlo para fiscalizar la conexión que se produce por Redes Privadas Virtuales, VPN, puntos de acceso inalámbricos, autenticación a sitwch, líneas DSL y otras modalidades. Con este protocolo es posible que todas las operaciones de validación y control de acceso, independientemente de su tecnología y fabricante, utilicen una única base de información para autorizar o denegar el acceso desde fuera de la red.
El funcionamiento típico de este servicio se basa en montar un servidor RADIUS, en donde se definen los usuarios y las condiciones para su acceso. Si están autorizados a utilizar la conexión remota, días y horas para que se permita y otros parámetros que regulan este acceso. A este servidor, se conectan los clientes RADIUS, que serán las puertas de entrada a la red. Un servidor VPN, un punto de acceso inalámbrico, un servidor de acceso telefónico y similares. Cuando un usuario conecta con alguna de estas puertas de acceso, éstas enviarán un mensaje RADIUS al servidor que tengan designado donde incluirán las credenciales del usuario y otros parámetros de la conexión. El servidor consultará en su base de datos, verificando la información que le envía el cliente y responderá indicando si se ha de permitir la conexión o no. Cuando el acceso se permite, el servidor RADIUS también proporciona datos al cliente para poder llevar la contabilidad de la conexión. Este servicio utiliza el protocolo UDP para el intercambio de mensajes en los puertos 1812, en autenticación, y 1813, para contabilidad. También puede verse escuchando en los puertos 1645 y 1646.
Como se puede observar, al implementar este protocolo de control de acceso, en la organización pueden existir distintos puntos de conexión en remoto, de igual o distinta naturaleza, y no es necesario definir en cada uno de ellos la información de conexión de cada usuario. Una facilidad de gestión muy interesante no tanto por la simplificación de las altas, sino por su mantenimiento, bajas y, sobre todo, modificaciones. Un servicio que, además, es multiplataforma, es decir, sirve para cualquier usuario, independientemente del sistema operativo y programa que utilice para la conexión y sin importar el fabricante y tecnología utilizado para enlazar con la red de la compañía desde el exterior. Quien conecta con el servidor RADIUS para obtener la autorización no es el usuario. La consulta de autorización la realiza el punto de conexión contra el que el usuario conecta. Esta configuración no sólo facilita la administración, sino que también permite elevar el nivel de seguridad en el acceso remoto. Los datos para la autenticación no residen en los equipos que reciben las conexiones, normalmente los que se encuentran en la frontera exterior y, en consecuencia, los más expuestos a todo tipo de ataque y compromiso.

Radius en Windows: IAS Server
En un sistema basado en Microsoft Windows 200X, es posible implementar RADIUS. Y no se necesita más que dedicar algo de tiempo para instalar y configurar el servicio IAS, Internet Autentication Service, Servicio de Autenticación de Internet, en alguno de los servidores disponibles con este sistema operativo. Microsoft Windows 200X en cualquiera de sus ediciones de servidor, junto a la licencia de sistema operativo incluye IAS, o lo que es lo mismo, RADIUS.
Las características de este servicio le hacen compatible con distintos métodos de autenticación basados en contraseña, como son los protocolos PAP, CAHAP y MS-CHAP y otros basados en tarjetas inteligentes o certificados del tipo EAP, Extensible Authentication Protocol. Para la validación, cuenta con características como la identificación del número marcado, identificación de la línea de llamada y la aceptación de conexiones de invitado, conexiones sin credenciales de usuario. De la misma forma, su diseño basado en los estándares de RADIUS le permiten operar con servidores de acceso telefónico, punto de acceso inalámbricos y conmutadores de autenticación, además de la integración con todos los servicios disponibles dentro del Enrutamiento y Acceso Remoto de Windows. De este modo, con IAS es posible validar la conexión de un usuario atendiendo a diversas condiciones como puede ser el medio utilizado, la pertenencia a grupo, número de teléfono marcado o el servidor de acceso al que conectó.
Instalar un servidor Radius bajo Windows 200X resulta rápido y muy sencillo. Lo primero, en el servidor designado para alojar estos servicios, hay que acudir al Panel de control y dentro de

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información