Notas Freeradius

¿Qué es Radius?

RADIUS (Remote Authentication Dial-In User Service) es un protocolo de autenticación y autorización para aplicaciones de acceso a la red o movilidad IP. Este protocolo facilita la transmisión de credenciales de autenticación, como nombres de usuario y contraseñas, desde un cliente de acceso a un servidor RADIUS. Utiliza el puerto 1812 UDP para establecer sus conexiones.

RADIUS, abreviatura de Remote Authentication Dial-in User Service, es un protocolo de seguridad de red ampliamente utilizado basado en un modelo cliente/servidor. RADIUS tiene como objetivo ofrecer un lugar centralizado para la autenticación de usuarios, donde los usuarios o clientes de diversas ubicaciones pueden solicitar acceso y servicios a la red.

El sistema RADIUS ha obtenido una adopción generalizada entre los proveedores de servicios de red debido a su facilidad de uso, eficacia y capacidad de expansión. En consecuencia, se ha convertido en un estándar industrial predominante y está preparado para lograr la estandarización del IETF.

El protocolo RADIUS lo emplean varias entidades, como proveedores de servicios de Internet (ISP), proveedores de redes celulares y redes corporativas y educativas, y tiene tres propósitos fundamentales.

  • Authentication – coincide con las credenciales del usuario para verificar la identidad
  • Authorization – determina los permisos de usuario
  • Accounting – rastrea el uso de recursos de la red del usuario

¿Qué es FreeRadius?

FreeRADIUS, por otro lado, es una implementación de código abierto del protocolo RADIUS. Es un software que permite a los administradores de red implementar un servidor RADIUS de forma gratuita. FreeRADIUS ofrece una amplia gama de características y funcionalidades, que incluyen autenticación basada en contraseñas, autenticación basada en certificados, autorización basada en grupos, contabilidad de tráfico de red, y más.

¿Qué es User manager?

User Manager es una implementación del protocolo RADIUS en RouterOS que proporciona autenticación y autorización de usuario centralizada para un determinado servicio. Tener una base de datos de usuarios central permite un mejor seguimiento de los usuarios y clientes del sistema. Como paquete separado, User Manager está disponible en todas las arquitecturas excepto SMIPS; sin embargo, se debe tener cuidado debido al espacio libre limitado disponible. Admite muchos métodos de autenticación diferentes, incluidos PAP, CHAP, MS-CHAP, MS-CHAPv2, EAP-TLS, EAP-TTLS y EAP-PEAP. En RouterOS, DHCP, Dot1x, Hotspot, IPsec, PPP y Wireless son las características que más se benefician del Administrador de usuarios. Cada usuario puede ver las estadísticas de su cuenta y administrar los perfiles disponibles utilizando la interfaz WEB. Además, los usuarios pueden comprar sus propios planes de datos (perfiles) utilizando la pasarela de pago más popular: PayPal, lo que lo convierte en un excelente sistema para proveedores de servicios. Se pueden generar informes personalizados para facilitar el procesamiento por parte del departamento de facturación. User Manager funciona según los estándares RADIUS definidos en RFC2865 y RFC3579.

¿Cuál es la diferencia entre Radius VS FreeRadius / User manager

La principal diferencia entre el RADIUS y FreeRADIUS / User manager es que el primero es simplemente el protocolo es decir un estándar de comunicación, mientras que el segundo es una implementación de software específica de ese estándar. FreeRADIUS y User manager existe para proporcionar a los administradores de red una solución listo para usar y altamente configurable para implementar servicios de autenticación, autorización y contabilidad en sus redes

Arquitectura

Cuando se realiza la conexión con un ISP mediante módem, DSL, cablemódem, Ethernet o Wi-Fi, se envía una información que generalmente es un nombre de usuario y una contraseña. Esta información se transfiere a un dispositivo Network Access Server (NAS) sobre el protocolo PPP, quien redirige la petición a un servidor RADIUS sobre el protocolo RADIUS. El servidor RADIUS comprueba que la información es correcta utilizando esquemas de autenticación como PAP, CHAP o EAP. Si es aceptado, el servidor autorizará el acceso al sistema del ISP y le asigna los recursos de red como una dirección IP, y otros parámetros como L2TP, etc.

 

¿Cuándo me conviene usar freeradius?

El escenario ideal es una red de telefonía móvil o un hotspot, ya que un cliente puede estar cambiando su ubicación y de forma automática
puede autenticarse en otra ciudad, localidad ya que está centralizada la autenticación por el servidor freeradius

Empresas que utilizan RADIUS

Actualmente, una amplia y variada gama de empresas utilizan el protocolo RADIUS para sus necesidades de autenticación y contabilidad. Algunos ejemplos de clientes RADIUS son:

  • Proveedores de redes móviles con millones de usuarios.
  • Pequeña empresa emergente de WISP que proporciona conectividad a Internet al vecindario local
  • Redes empresariales que implementan control de acceso a la red (NAC) utilizando 802.1x para proteger el acceso a su red
  • Universidades que dan acceso WiFi a sus estudiantes y personal

En que momento conviene usar FreeRADIUS para un ISP?

  1. La principal es cuando el equipo que entrega IP o realiza PPPoE ya no es un Mikrotik, y lo realiza directamente una OLT o Switch/Router de otra Marca ejemplo Cisco, Juniper, Dell, Huawei.
  2. Cuando tienes un alto consumo de trafico ejemplo 20gb, 40gb y el mikrotik ya no es suficiente soportar esta carga.
  3. Cuando quieres admnistrar muchos usuarios en un mikrotik, ejemplo 4mil, 8mil clientes y el mikrotik ya no tiene los suficientes recursos para soportar esa cantidad de clientes.
  4. Cuando tienes muchos equipos mikrotik y es dificil llevar la administracion de los usuarios en cada uno.

 

Un mikrotik puede soportarme entre 6mil-8mil secrets pppoe entregando IP de forma automatica con el profile default, la limitacion de velocidad lo haria la OLT. Pero visualizar los secrets en el wimbox se cargaria lento, tambièn por temas memoria y disco podria no soportar los 8mil secrets si colocaria IP estatica porque el disco duro se estaria escribiendo y leyendo simultaneamente.

 

¿Eso va mejorar mis recursos en el NAS (Router)?

No mucho porque al final la limitación de velocidad, entregar ips lo sigue haciendo el NAS. La limitación de velocidad lo podría hacer la OLT ya que fue diseñada para eso. Lo único que te ahorras en recursos es la autenticación que hace el servidor freeradius.

Si tu problema es de recursos en cantidad de trafico o cantidad de clientes en el mikrotik entonces talvez se requiere otro equipo con mayor capacidad o trabajarlo directamente con la OLT la gestion del PPPoE.

Con la OLT podria manejar el PPPoE directamente?

Si se puede en algunas OLT te soporta BGP, PPPoE (BNG), limitacion de velocidad, NAT (Huawei no lo permite), con esto ya podrias dejar usar el mikrotik y hacer todo en la OLT o cambiar por un switch router con mayor capacidad.

Que pasa si hay un apagon y tengo mas de 20 mil usuarios cargados en FreeRADIUS?

  1. En el cliente NAS (Router) configurar failover para que tenga mas de 1 servidor de aute en caso que falle el primero se pase al siguiente.
  2. Tener 2 servidores freeradius con sus propias bd, un bd master y otra replica de lectura.
  3. Tener un servidor local freeradious para la auth y si logra fallar tener otro servidor freeradius en la nube que sirva como failover.
  4. En muchos casos el cuello de botella sera la base de datos de freeradius, pero esto ya es tema de configuracion y optimizacion de base de datos para soportar mas conexiones.

 

 

Entonces ¿Qué ventajas tiene freeradius?

Authentication: Centralización de la autenticación, pero por temas de costos puede no ser factible. Eso podría hacerlo un Mikrotik Con PPPoE
Accounting: Llevar historial de consumo pero esto podrías obtenerlo desde la OLT o con sistemas de monitorio como adminolt, observium, 
          Otra ventaja en Accounting es el ancho de banda, Ej. tengo un plan de 10 gigas de consumo y una vez lo supere, puede suspenderse el servicio o bajar la velocidad
Authorization: control de permisos o recursos a los que tienes acceso

En general no hay ventaja si cuentas con CRM para ISPS que ayuden a la gestión de usuarios 

Referencias

https://info.support.huawei.com/info-finder/encyclopedia/en/RADIUS.html

https://docs.oracle.com/cd/E19957-01/805-6061/6j5nf0ebu/index.html

https://www.securew2.com/blog/the-history-of-radius-authentication-protocol-ieee-802-1x

https://networkradius.com/doc/current/introduction/RADIUS.html


4 de Junio de 2024 a las 15:11 - Visitas: 780