O que é Radius?

RADIUS (Remote Authentication Dial-In User Service) es un protocolo de red que proporciona gestión centralizada de autenticación, autorización y contabilidad (AAA) para usuarios que se conectan a una red. Es ampliamente utilizado en redes empresariales para controlar el acceso a servicios como Wi-Fi, VPN, switches y más345.

Funciones principales

• Autenticación: Verifica la identidad del usuario antes de permitir el acceso.

• Autorización: Determina qué recursos puede utilizar el usuario una vez autenticado.

• Contabilización: Registra la actividad del usuario, como tiempo de conexión y datos transferidos345.

Arquitectura RADIUS

La arquitectura RADIUS se compone de tres elementos principales:

• Servidor RADIUS: Centraliza la AAA y almacena las credenciales de los usuarios.

• Cliente RADIUS: Normalmente un dispositivo de red (switch, punto de acceso, VPN, etc.) que solicita la autenticación al servidor RADIUS.

• Usuario final (Suplicante): El usuario o dispositivo que intenta acceder a la red134.

Proceso de Autenticación con RADIUS

1. El usuario solicita acceso a la red introduciendo sus credenciales (usuario/contraseña).

2. El cliente RADIUS (por ejemplo, un switch o AP) recibe la solicitud y la envía al servidor RADIUS.

3. El servidor RADIUS valida las credenciales:

   • Si son correctas, responde con un mensaje de aceptación y, opcionalmente, políticas de acceso.

   • Si son incorrectas, responde con un rechazo.

4. El cliente RADIUS permite o deniega el acceso al usuario según la respuesta del servidor135.

Métodos de Autenticación Soportados

• PAP (Password Authentication Protocol)

• CHAP (Challenge Handshake Authentication Protocol)

• EAP (Extensible Authentication Protocol)

• Integración con Active Directory, LDAP, certificados digitales, tokens, etc.35

Ventajas de RADIUS

• Centralización de credenciales y políticas de acceso.

• Compatibilidad con múltiples protocolos y dispositivos.

• Escalabilidad y flexibilidad para entornos grandes.

• Registro detallado de la actividad de los usuarios.

• Integración con sistemas de autenticación externos.35

Ejemplo de Escenario de Uso

En una universidad, los puntos de acceso Wi-Fi están configurados como clientes RADIUS. Cuando un estudiante intenta conectarse, el AP solicita la autenticación al servidor RADIUS, que verifica las credenciales y permite el acceso solo a usuarios válidos34.

Configuración Básica de un Servidor RADIUS

Requisitos previos

• Un servidor con software RADIUS (por ejemplo, FreeRADIUS, Microsoft NPS, etc.).

• Dispositivos de red compatibles con RADIUS (switches, APs, routers).

• Red IP funcional entre servidor y clientes RADIUS.

1. Instalación del servidor RADIUS

En sistemas Linux, FreeRADIUS es una opción común:

bash

sudo apt-get update sudo apt-get install freeradius

En Windows, se puede usar el servicio NPS (Network Policy Server).

2. Configuración de usuarios

Edita el archivo de usuarios (ejemplo para FreeRADIUS):

text

usuario1 Cleartext-Password := "contraseña1"

3. Configuración de clientes RADIUS

En FreeRADIUS, edita clients.conf:

text

client switch1 { ipaddr = 192.168.1.2 secret = clavecompartida }

La clave compartida debe coincidir en el servidor y en el cliente.

4. Configuración de dispositivos de red (cliente RADIUS)

En un switch o AP, configura el servidor RADIUS:

bash

radius-server host 192.168.1.10 key clavecompartida aaa authentication login default group radius local

En dispositivos Cisco, la configuración puede variar según el modelo.

5. Configuración de autenticación (ejemplo: Wi-Fi WPA2-Enterprise)

• Selecciona WPA2-Enterprise/EAP en el AP.

• Introduce la IP del servidor RADIUS y la clave compartida.

• Los usuarios deben autenticarse con sus credenciales almacenadas en el servidor RADIUS.

Configuración avanzada: 802.1X y grupos de servidores

• 802.1X: Permite la autenticación de usuarios en puertos de switches antes de permitir el tráfico.

• Grupos de servidores: Se pueden definir varios servidores RADIUS para redundancia y balanceo, especificando algoritmos como round-robin o directo según la topología2.

Integración con Directorios Externos

RADIUS puede integrarse con Active Directoryquer LDAP para autenticación centralizada, permitiendo gestionar usuarios desde una única base de datos y aplicar políticas avanzadas5.

Contabilización y monitoreo

RADIUS puede registrar:

• Hora de inicio y fin de sesión

• Volumen de datos transferidos

• Intentos fallidos de acceso

Esto permite auditar el uso de la red y detectar posibles incidentes de seguridad345.

Resolución de Problemas Comunes

• Fallo de autenticación: Verificar credenciales, configuración del usuario en el servidor y la clave compartida.

• Problemas de conectividad: Revisar IP, máscara de red y puerta de enlace en el servidor y clientes.

• Desincronización de claves: La clave compartida debe coincidir exactamente en ambos extremos.

• Logs: Consultar los registros del servidor RADIUS para detalles de errores4.

Mejores Prácticas

• Usar claves compartidas seguras y cambiarlas periódicamente.

• Limitar el acceso al servidor RADIUS solo a dispositivos autorizados.

• Monitorear los logs para detectar accesos sospechosos o fallidos.

• Implementar redundancia con varios servidores RADIUS.

• Integrar con directorios externos para facilitar la gestión de usuarios5.

Resumen

RADIUS es un sistema robusto y flexible para la gestión centralizada de acceso a la red, ampliamente adoptado en entornos empresariales, educativos y de proveedores de servicios. Su correcta implementación mejora la seguridad, facilita la administración y permite un control granular sobre quién accede a la red y cómo lo hace345.