RADIUS es un protocolo de red de tipo autenticación cliente/servidor y viene del acrónimo Remote Authentication Dial-In User Service.

Se utiliza para proveer autenticación centralizada, autorización y registro de actividad para redes de acceso dial-up, redes privadas virtuales (VPN) y para redes de acceso inalámbrico.

Es un sistema  de seguridad distribuida que define reglas y prácticas para proteger del acceso no autorizado tanto al acceso remoto de las redes como a los servicios de red. RADIUS comprende tres elementos: Un protocolo con un formato de trama UDP, un servidor y un cliente.

Lo que hace es autenticar a los usuarios o dispositivos antes de acceder a una red, los autoriza para esos servicios y reporta y realiza seguimiento del uso de los mismos. Por eso se dice que es un servidor AAA que corresponde Authentication, Authorization and Accounting.

El servidor se ejecuta en un ordenador central, mientras que los clientes se encuentran distribuidos por la red. Un NAS, Network Access Server opera como un cliente RADIUS. El cliente es responsable de pasarle la información de usuario al servidor, y después actuar sobre la respuesta que le proporciona el servidor. El servidor se encarga de recibir las peticiones de usuarios, autenticar a los usuarios y devolver la información de configuración para ofrecer el servicio al usuario final.

En cualquier escenario donde se encuentre implementado RADIUS, todo usuario debe presentar ante el cliente o NAS una información de autenticación, dada por un nombre de usuario y una contraseña. Es ampliamente usado en ambientes de red, especialmente en dispositivos como routers, módems, servers, switches, etc.

Una de las características más importantes del protocolo RADIUS es su capacidad de manejar sesiones, notificando cuándo comienza y termina una conexión, así que al usuario se le podrá determinar su consumo y facturar en consecuencia.

La ventaja de los servidores RADIUS es que soportan bastantes métodos de autenticación de usuarios. Por ejemplo, PPP, PAP, CHAP, Login UNIX, etcétera. También es un protocolo extensible y la mayoría de fabricantes implementan sus propias versiones.

Su éxito residió, en su implementación en proveedores de acceso a Internet (ISP), que fueron los que primero debieron incluir una instancia de autenticación remota a través de la red para validar las conexiones de sus clientes. Aparte de los  ISP´s, también es usado por proveedores de red para móviles, en redes corporativas y educativas.

Aun así en el mercado existen otros protocolos que proveen AAA y que han mejorado las vulnerabilidades que presenta RADIUS. Es el caso de DIAMETER Y TACACS+.

DIAMETER es una evolución de RADIUS mejorada y TACACS+ es el utilizado en los dispositivos de Cisco. Ambos por ejemplo usan TCP que es más seguro que UDP.

A continuación, os adjunto una tabla comparativa de estos tres protocolos sacada del blog http://www.flu-project.com/

Image and video hosting by TinyPic

Pilar Carrasco

Alumna del curso Microsoft MCSE Private Cloud

Centro: Tajamar

Año académico: 2016-2017