RADIUS es un protocolo que se emplea para autenticar y autorizar el acceso de los usuarios a una red ya sea de forma remota o local. RADIUS es también el protocolo que se utiliza para acceder al equipo de infraestructura que hace funcionar la red. El término RADIUS es un acrónimo de Remote Authentication Dial-In User Service.
Desde que se presentó por vez primera en 1991, RADIUS ha permanecido como una herramienta poderosa para gestionar el acceso del usuario a la red. Para comprender el porqué, echemos un vistazo a la evolución del protocolo RADIUS a través de los años.
¿Cómo funciona RADIUS?
RADIUS impulsa el modelo cliente/servidor para la autenticación del acceso de usuario en la red. En la práctica, se envía una solicitud del usuario para acceder a la red por parte del cliente tal como un sistema de usuario o un punto de acceso WiFi al servidor RADIUS para la autenticación. Los servidores RADIUS suelen estar acoplados a una base de datos (también conocido como servicio de directorio) separada del proveedor de identidades (IdP, por sus siglas en inglés) que actúa como fuente de verdad para las identidades de los usuarios. Hay que tener en cuenta que un servidor RADIUS puede almacenar las identidades de los usuarios, pero la mayoría de las organizaciones no optan por esta vía, ya que la identidad queda bloqueada en la plataforma RADIUS en lugar de estar disponible para todo tipo de recursos de TI.
Mientras que los usuarios intentan acceder a una red remota protegida por RADIUS, se les presenta el reto de proporcionar sus credenciales de usuario únicas que están asociadas con su identidad de usuario almacenada en el directorio de la base de datos asociada (ya sea en la Cloud o de forma local). Una vez que hayan sido proporcionadas por el usuario, las credenciales se transportan posteriormente del cliente hacia un servidor RADIUS por medio de un suplicante (un programa responsable de solicitar el acceso a las redes inalámbricas).
En términos más simples, la solicitud de autenticación y las credenciales se envían desde el dispositivo del usuario por medio del suplicante a un dispositivo de red avalado por RADIUS —piense en un punto de acceso WiFi o un servidor VPN. Después, el dispositivo de red avalado por RADIUS envía la solicitud de autenticación al servidor RADIUS para llevar a cabo la autenticación. Una vez recibida la solicitud de autenticación del usuario y las credenciales, el servidor RADIUS valida las credenciales del usuario contra la base de datos de los servicios de directorio asociados.
Si las credenciales del usuario coinciden con la información almacenada en la base de datos del directorio asociado, se envían autorizaciones válidas al cliente de RADIUS para inicializar la conexión a la red. Si no, se envía una notificación de negación. En caso de que la autenticación resulte exitosa, el servidor RADIUS puede colocar al usuario en un VLAN determinado o solicitar un factor adicional de acceso vía MFA.
Obtenga un vistazo más profundo a cómo funciona RADIUS exactamente en nuestra Guía Definitiva para RADIUS.
LAS LIMITANTES DEL RADIUS ACTUAL
El protocolo RADIUS ha demostrado incrementar la seguridad y control en la red, pero esto no es posible sin algunos retos. Esto es especialmente cierto para las organizaciones de TI más nuevas y que se inclinan por la Cloud. Por ejemplo, RADIUS ha sido históricamente una implementación local que requería efectivamente una infraestructura de gestión de acceso e identidades (IAM, por sus siglas en inglés) local para funcionar (por ejemplo, servidor de directorio, servidor RADIUS, enrutadores, conmutadores, equilibradores de carga, etc.).
Esta configuración puede resultar complicada y costosa de obtener. Además, la infraestructura de gestión de identidad local se ha enfocado principalmente en Microsoft Windows, con el Microsoft Active Directory (AD, por sus siglas en inglés) funcionando como el proveedor principal de identidad. Para ser justos, AD si ofrece su propia funcionalidad RADIUS complementaria (en forma de otro servicio llamado Servidor NPS Windows –Network Policy Server).
Sin embargo, a medida que el panorama de TI moderno continúa diversificándose, muchas organizaciones de TI se están alejando de la implementación de AD local debido a sus numerosas limitaciones en entornos multiplataforma y de Cloud híbrida, especialmente ahora, durante la pandemia de COVID, en la que el trabajo remoto es tan crítico.
De hecho, muchas organizaciones de TI están trasladando toda su infraestructura de gestión de identidades local a la Cloud con alternativas de AD. Este enfoque conlleva una serie de ventajas, como una mayor agilidad y una reducción de costos, pero sin nada en la Cloud, ¿cómo pueden las organizaciones de TI seguir proporcionando una autenticación RADIUS segura y mantener sus redes –ya sean WiFi o VPN– seguras?
Autenticación RADIUS Desde La Cloud
Afortunadamente, ha surgido una siguiente generación de identidad en la cloud y gestión de acceso (IAM) la cual brinda una Cloud RADIUS como un microservicio. Esta solución se llama Plataforma de Directorio JumpCloud la cual no solo ofrece una autenticación RADIUS en la Cloud, sino también funciona como una alternativa completa al AD. Esto se debe a que la plataforma JumpCloud es la primera plataforma de directorio basada en la Cloud que adopta un enfoque multiplataforma, neutro en cuanto a proveedores y basado en protocolos para la gestión de las redes de TI modernas —ya sean remotas o locales.
Al implementar esta plataforma, los equipos de TI pueden gestionar y conectar de forma segura a los usuarios a sus sistemas, aplicaciones, archivos y, específicamente en lo que se refiere a este artículo, redes a través de RADIUS, independientemente de la plataforma, el protocolo, el proveedor y la ubicación. Al hacerlo, los administradores son libres de aprovechar los mejores recursos de TI para su organización con la tranquilidad de saber que pueden gestionar efectivamente toda la red utilizando la autenticación RADIUS basada en la web.
Orígenes de RADIUS
De acuerdo con John Vollbrecht, fundador de Interlink Networks y una figura central en el surgimiento del protocolo RADIUS, la historia de RADIUS inició en 1987 cuando la Fundación Nacional de las Ciencias (NSF, por sus siglas en inglés) le otorgó un contrato a Merit Network Inc. para expandir NSFnet (es decir, la precursora del internet moderno).
Merit Network Inc. fue una corporación sin fines de lucro respaldada por la Universidad de Michigan que había desarrollado un protocolo de autenticación de red propia para conectar universidades por todo Michigan. En aquella época, la mayoría de las redes utilizaban protocolos propietarios y eran exclusivas en este sentido. El contrato de la NSF para ampliar la NSFnet fue un esfuerzo por llevar el internet al público.
Sin embargo, para ello, la red propietaria de Merit tuvo que convertirse a la red basada en IP de NSFnet. Merit solicitó entonces propuestas de proveedores para desarrollar un protocolo que pudiera soportar el enfoque de autenticación de marcación de Merit pero para redes basadas en IP. Recibieron una respuesta de una empresa llamada Livingston Enterprises, cuya propuesta contenía básicamente la descripción del protocolo RADIUS. Merit Networks Inc. aceptó la propuesta de Livingston Enterprises en 1991, y así nació el protocolo RADIUS.
Conozca Más Acerca del Protocolo RADIUS
Pruebe la función Cloud RADIUS a través de una prueba gratuita de JumpCloud Directory Platform.