¿Cuándo Debe Usar un Servidor RADIUS de Windows?

Escrito por el en Articles
Roman Fattakhov
Por Roman Fattakhov
26 de marzo de 2021
Última actualización en octubre 5, 2021

Servidor de directivas de red (NPS) es la implementación de Microsoft de un servidor RADIUS (Servicio de Autenticación Remota Telefónica de Usuario). NPS proporciona capacidades de autenticación, autorización y contabilidad centralizadas (AAA) a su red. Bajo esta configuración, su servidor de acceso a la red (NAS) actúa como un cliente RADIUS y envía todas las solicitudes de conexión de los usuarios a un servidor RADIUS que ejecuta NPS en Windows, que luego proporciona información de autenticación y autorización al NAS. Mientras los usuarios están conectados a la red, NPS registra sus actividades como parte de su rol de contabilidad RADIUS.

¿Qué es el Protocolo RADIUS?

RADIUS es un protocolo de red cliente-servidor con funciones de administración AAA que utiliza el Protocolo de Datagramas de Usuario sin conexión (UDP) para su capa de transporte y utiliza el puerto 1812 para autenticación y el puerto 1813 para autorización.

Dado que UDP no requiere una conexión confiable a través de una red, el uso de RADIUS significa una sobrecarga de red mínima. Sin embargo, esto también puede llevar a solicitar tiempos de espera en caso de mala calidad de la red. Cuando esto sucede, el cliente RADIUS envía otra solicitud al servidor. Para garantizar que RADIUS se ejecute en una conexión de red segura, ha habido iniciativas anteriores para que funcione con el Protocolo de Control de Transmisión (TCP), pero estas no han ido más allá de la etapa experimental.

Proceso de autenticación

Como protocolo de red cliente-servidor, RADIUS tiene componentes cliente y servidor. En una red típica que utiliza RADIUS, el proceso de autenticación y autorización es el siguiente:

  1. Un NAS sirve como cliente RADIUS y pasa solicitudes de autenticación a un servidor RADIUS que se ejecuta como un proceso en segundo plano en Windows o cualquier otro sistema operativo de servidor.
  1. El servidor RADIUS autentica las credenciales de usuario y comprueba los privilegios de acceso del usuario con su base de datos central, que puede estar en un formato de archivo plano o almacenada en una fuente de almacenamiento externa, como SQL Server o Active Directory Server.
  1. Cuando el servidor RADIUS encuentra a los usuarios y sus privilegios asociados en su base de datos, devuelve un mensaje de autenticación y autorización al NAS, que luego permite al usuario acceder a la red y a su matriz de aplicaciones y servicios.
  1. El NAS, que sigue actuando como cliente RADIUS, devuelve las solicitudes de contabilidad al servidor RADIUS mientras los usuarios están conectados a la red. Estas solicitudes registran todas las actividades de los usuarios en el servidor RADIUS.

RADIUS admite varios mecanismos de autenticación, incluidos:

  • Protocolo de Autenticación por desafío y Apretón de manos (CHAP)
  • Protocolo de Autenticación por contraseña (PAP)
  • Protocolo de Autenticación Extensible (EAP)

La operación combinada de autenticación y autorización en RADIUS minimiza el flujo de tráfico y hace que la red sea más eficiente. RADIUS también admite autenticación multifactor (MFA) mediante contraseñas de un solo uso o algún otro mecanismo, que a menudo requieren que los clientes y servidores pasen más mensajes de lo normal.

En redes más grandes, un servidor RADIUS también puede actuar como cliente proxy para otros servidores RADIUS.

RADIUS o LDAP: ¿Qué usar para la Autenticación Centralizada?

LDAP

Al igual que RADIUS, el Protocolo ligero de Acceso a directorios (LDAP) se utiliza para la autenticación y autorización de usuarios. LDAP realiza esta función accediendo y administrando servicios de directorio, como el servicio de Active Directory propietario de Microsoft. En cuanto a cuál es mejor depende de sus requisitos específicos.

Dado que LDAP utiliza TLS, las conexiones y los mensajes entre el cliente y el servidor siempre están cifrados. Además, dado que LDAP utiliza TCP, las posibilidades de que se retiren las solicitudes son nulas, aunque esto a menudo significa más sobrecarga de red. LDAP también es más fácil de configurar que RADIUS.

Por otro lado, LDAP no admite la contabilidad de usuarios, aunque esto se puede acomodar utilizando otras herramientas como Syslog. Tampoco es compatible con la autenticación multifactor de forma inmediata, aunque puede usar otras soluciones si necesita esta función.

RADIUS

De forma predeterminada, RADIUS no cifra ninguno de los otros atributos pasados entre el cliente y el servidor, excepto las contraseñas. Admite otros mecanismos de autenticación, como EAP, lo que le permite sortear esta debilidad. También puede implementar otros mecanismos de seguridad, como colocar servidores y clientes detrás de redes privadas virtuales (VPN), con RADIUS.

Aunque más complejo, RADIUS admite contabilidad de usuarios y MFA, lo que lo hace ideal para su uso en grandes empresas. Sin embargo, también es útil para organizaciones más pequeñas que buscan proteger sus redes.

El servidor de directivas de red como servidor RADIUS

NPS se conocía como Servicio de Autenticación de Internet (IAS) en versiones anteriores de Windows. A partir de Windows 2008, IAS se convirtió en NPS, con Microsoft agregando nuevas características al componente, incluida la Protección de acceso a la red y el soporte IPv6. NPS funciona con muchos tipos de redes.

Para autenticar las credenciales de usuario en la red Windows, NPS depende de un dominio de Servicios de dominio de Active Directory (AD DS) o de la base de datos de cuentas de usuario del Administrador de cuentas de seguridad local (SAM). Puede usar NPS como parte de una solución de inicio de sesión único cuando el servidor que lo ejecuta pertenece a un dominio de AD DS. En este caso, NPS autentica a los usuarios a través de la base de datos de cuentas de usuario del servicio de directorio y registra a los usuarios autenticados en el dominio de AD DS.

Con RADIUS, NPS actúa como la ubicación central para los datos de usuario relacionados con la autenticación, la autorización y la contabilidad, en lugar del NAS. Si combina NPS con Servicios de Acceso remoto, puede usar RADIUS para autenticar y autorizar usuarios en sus redes de acceso remoto.

Un servidor RADIUS que ejecuta NPS proporciona el mecanismo de autenticación más sencillo para servidores Windows que se ejecutan en AWS.

Servidor de directivas de red como proxy RADIUS

Además de tener NPS como servidor RADIUS en Windows, también puede usar NPS como cliente proxy RADIUS que reenvía mensajes de autenticación o cuentas a otros servidores RADIUS.

Algunos escenarios en los que este caso de uso es útil es si:

  • Proporcionar servicios de acceso a la red subcontratados. A continuación, puede reenviar las solicitudes de conexión a los servidores RADIUS que mantienen sus clientes.
  • Tener cuentas de usuario que no pertenezcan al mismo dominio que el servidor RADIUS de Windows o que pertenezcan a otro dominio con una relación de confianza bidireccional con el dominio del servidor RADIUS de NPS.
  • Utilice una base de datos de cuentas que no sea de Windows.
  • Tiene un gran número de usuarios que solicitan conexiones.
  • Proporcione autenticación y autorización RADIUS a sus proveedores.

Asegure el acceso a su aplicación con Parallels RAS

Parallels® Remote Application Server (RAS) tiene una amplia gama de funciones que pueden ayudar a asegurar el acceso a sus aplicaciones y datos, incluida la compatibilidad con MFA mediante cualquier servidor RADIUS.

Parallels RAS proporciona soporte de configuración de alta disponibilidad para dos servidores RADIUS. Los modos de alta disponibilidad para servidores RADIUS se pueden configurar como Activo-Activo, para hacer uso de ambos servidores simultáneamente, o como Activo-Pasivo, para fines de conmutación por error.

Además, con Parallels RAS, puede crear reglas de filtrado para usuarios en función del usuario, la dirección IP, la dirección MAC y la puerta de enlace. Mediante las directivas de cliente, puede agrupar usuarios y enviar diferentes configuraciones de cliente de Parallels a sus dispositivos de usuario.

Compatible con Parallels RAS:

  • Autenticación con tarjeta inteligente
  • Modo quiosco
  • Autenticación de inicio de sesión único de lenguaje de marcado de aserción de seguridad (SSO SAML).

Parallels RAS también es compatible con el cifrado de protocolo Secure Sockets Layer (SSL) o el Estándar Federal de Procesamiento de Información (FIPS) 140-2 de acuerdo con el Reglamento General de Protección de Datos (RGPD), la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) y el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS).

Parallels RAS viene con un motor de informes estándar que permite transformar sus datos sin procesar en informes visuales e intuitivos.

Descubra cómo Parallels RAS puede ayudar a proteger sus redes descargando la versión de prueba.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.