radius 2007
Monterrey, Campus Puebla
Redes III
RADIUS
Remote Access Dial-in User Service
Adolfo Alonso Márquez
789413
Fanny Paola Vadillo Herrera
984726
Santiago García Pimentel R. G.
1092227
Sergio Arturo Ling Alipi
1092289
Paulette Amparo Zorrilla Bautista
1092470
Luis Manuel Pineda Llano
1092556
Gustavo Julián Peláez García
1093123Septiembre 2007
R A D I U S (Remote Access Dial-in User Service)
Autorización
Autenticación
Manejo de Cuentas (Accounting)
Introducción
RADIUS es un protocolo ampliamente usado en el ambiente de redes, para
dispositivos tales como routers, servidores y switches entre otros. Es utilizado para
proveer autenticación centralizada, autorización y manejo de cuentas para redes de
acceso dial-up, redesprivadas virtuales (VPN) y, recientemente, para redes de acceso
inalámbrico.
Puntos importantes:
-
Los sistemas embebidos generalmente no pueden manejar un gran número de
usuarios con información diferente de autenticación. Requiere una gran cantidad
de almacenamiento.
-
RADIUS facilita una administración centralizada de usuarios. Si se maneja una
enorme cantidad de usuarios, continuamente cientos deellos son agregados o
eliminados a lo largo del día y la información de autenticación cambia
continuamente. En este sentido, la administración centralizada de usuarios es un
requerimiento operacional.
-
Debido a que las plataformas en las cuales RADIUS es implementado son
frecuentemente sistemas embebidos, hay oportunidades limitadas para soportar
protocolos adicionales. Algún cambio alprotocolo RADIUS deberá ser compatible
con clientes y servidores RADIUS pre-existentes.
Un cliente RADIUS envía credenciales de usuario e información de parámetros de
conexión en forma de un mensaje RADIUS al servidor. Éste autentica y autoriza la
solicitud del cliente y envía de regreso un mensaje de respuesta. Los clientes RADIUS
también envían mensajes de cuentas a servidores RADIUS.
Los mensajesRADIUS son enviados como mensajes UDP (User Datagram Protocol). El
puerto UDP 1812 es usado para mensaje de autenticación RADIUS y, el puerto UDP
1813, es usado para mensajes de cuentas RADIUS. Algunos servidores usan el puerto
UDP 1645 para mensajes de autenticación y, el puerto 1646, para mensajes de cuentas.
Esto último debido a que son los puertos que se usaron inicialmente para este tipo deservicio.
Formato de Paquetes
Septiembre 2007
Los datos entre el cliente y el servidor son intercambiados en paquetes RADIUS. Cada
paquete contiene la siguiente información:
Figura 1: Formato de Paquete RADIUS http://ing.ctit.utwente.nl/WU5/D5.1/Technology/radius/
Los campos en un paquete RADIUS son:
-
Code (Código). Un octeto que contiene el tipo de paquete.
Valor
1
2
3
4
5
11
12
13
255Descripción
Access-Request
Access-Accept
Access-Reject
Accounting-Request
Accounting-Response
Access-Challenge
Status-Server (experimental)
Status-Client (experimental)
Reserved
-
Identifier (Identificador). Un octeto que permite al cliente RADIUS relacionar una
respuesta RADIUS con la solicitud adecuada.
-
Length. Longitud del paquete (2 octetos).
-
Authenticator (Verificador). Valor usado paraautenticar la respuesta del servidor
RADIUS. Es usado en el algoritmo de encubrimiento de contraseña.
-
Attributes (Atributos). Aquí son almacenados un número arbitrario de atributos. Los
únicos atributos obligatorios son el User-Name (usuario) y el User-Password
(contraseña).
Tipos de mensajes RADIUS definidos por los RFC 2865 y 2866:
Septiembre 2007
Access-Request. Enviado por un clienteRADIUS para solicitar autenticación y
autorización para conectarse a la red. Debe contener el usuario y contraseña (ya sea de
usuario o CHAP); además del puerto NAS, si es necesario.
Access-Accept. Enviado por un servidor RADIUS en respuesta a un mensaje de AccessRequest. Informa que la conexión está autenticada y autorizada y le envía la información
de configuración para comenzar a usar el...
Regístrate para leer el documento completo.