¿Qué es Radius?

RADIUS (Remote Authentication Dial-In User Service) es un protocolo de red que proporciona gestión centralizada de autenticación, autorización y contabilidad (AAA) para usuarios que se conectan a una red. Es ampliamente utilizado en redes empresariales para controlar el acceso a servicios como Wi-Fi, VPN, switches y más345.Funciones principalesAutenticación: Verifica la identidad del usuario antes de permitir el acceso.Autorización: Determina qué recursos puede utilizar el usuario una vez autenticado.Contabilización: Registra la actividad del usuario, como tiempo de conexión y datos transferidos345.Arquitectura RADIUSLa arquitectura RADIUS se compone de tres elementos principales:Servidor RADIUS: Centraliza la AAA y almacena las credenciales de los usuarios.Cliente RADIUS: Normalmente un dispositivo de red (switch, punto de acceso, VPN, etc.) que solicita la autenticación al servidor RADIUS.Usuario final (Suplicante): El usuario o dispositivo que intenta acceder a la red134.Proceso de Autenticación con RADIUSEl usuario solicita acceso a la red introduciendo sus credenciales (usuario/contraseña).El cliente RADIUS (por ejemplo, un switch o AP) recibe la solicitud y la envía al servidor RADIUS.El servidor RADIUS valida las credenciales:Si son correctas, responde con un mensaje de aceptación y, opcionalmente, políticas de acceso.Si son incorrectas, responde con un rechazo.El cliente RADIUS permite o deniega el acceso al usuario según la respuesta del servidor135.Métodos de Autenticación SoportadosPAP (Password Authentication Protocol)CHAP (Challenge Handshake Authentication Protocol)EAP (Extensible Authentication Protocol)Integración con Active Directory, LDAP, certificados digitales, tokens, etc.35Ventajas de RADIUSCentralización de credenciales y políticas de acceso.Compatibilidad con múltiples protocolos y dispositivos.Escalabilidad y flexibilidad para entornos grandes.Registro detallado de la actividad de los usuarios.Integración con sistemas de autenticación externos.35Ejemplo de Escenario de UsoEn una universidad, los puntos de acceso Wi-Fi están configurados como clientes RADIUS. Cuando un estudiante intenta conectarse, el AP solicita la autenticación al servidor RADIUS, que verifica las credenciales y permite el acceso solo a usuarios válidos34.Configuración Básica de un Servidor RADIUSRequisitos previosUn servidor con software RADIUS (por ejemplo, FreeRADIUS, Microsoft NPS, etc.).Dispositivos de red compatibles con RADIUS (switches, APs, routers).Red IP funcional entre servidor y clientes RADIUS.1. Instalación del servidor RADIUSEn sistemas Linux, FreeRADIUS es una opción común:bashsudo apt-get update sudo apt-get install freeradius En Windows, se puede usar el servicio NPS (Network Policy Server).2. Configuración de usuariosEdita el archivo de usuarios (ejemplo para FreeRADIUS):textusuario1 Cleartext-Password := "contraseña1" 3. Configuración de clientes RADIUSEn FreeRADIUS, edita clients.conf:textclient switch1 { ipaddr = 192.168.1.2 secret = clavecompartida } La clave compartida debe coincidir en el servidor y en el cliente.4. Configuración de dispositivos de red (cliente RADIUS)En un switch o AP, configura el servidor RADIUS:bashradius-server host 192.168.1.10 key clavecompartida aaa authentication login default group radius local En dispositivos Cisco, la configuración puede variar según el modelo.5. Configuración de autenticación (ejemplo: Wi-Fi WPA2-Enterprise)Selecciona WPA2-Enterprise/EAP en el AP.Introduce la IP del servidor RADIUS y la clave compartida.Los usuarios deben autenticarse con sus credenciales almacenadas en el servidor RADIUS.Configuración avanzada: 802.1X y grupos de servidores802.1X: Permite la autenticación de usuarios en puertos de switches antes de permitir el tráfico.Grupos de servidores: Se pueden definir varios servidores RADIUS para redundancia y balanceo, especificando algoritmos como round-robin o directo según la topología2.Integración con Directorios ExternosRADIUS puede integrarse con Active Directory o LDAP para autenticación centralizada, permitiendo gestionar usuarios desde una única base de datos y aplicar políticas avanzadas5.Contabilización y monitoreoRADIUS puede registrar:Hora de inicio y fin de sesiónVolumen de datos transferidosIntentos fallidos de accesoEsto permite auditar el uso de la red y detectar posibles incidentes de seguridad345.Resolución de Problemas ComunesFallo de autenticación: Verificar credenciales, configuración del usuario en el servidor y la clave compartida.Problemas de conectividad: Revisar IP, máscara de red y puerta de enlace en el servidor y clientes.Desincronización de claves: La clave compartida debe coincidir exactamente en ambos extremos.Logs: Consultar los registros del servidor RADIUS para detalles de errores4.Mejores PrácticasUsar claves compartidas seguras y cambiarlas periódicamente.Limitar el acceso al servidor RADIUS solo a dispositivos autorizados.Monitorear los logs para detectar accesos sospechosos o fallidos.Implementar redundancia con varios servidores RADIUS.Integrar con directorios externos para facilitar la gestión de usuarios5.ResumenRADIUS es un sistema robusto y flexible para la gestión centralizada de acceso a la red, ampliamente adoptado en entornos empresariales, educativos y de proveedores de servicios. Su correcta implementación mejora la seguridad, facilita la administración y permite un control granular sobre quién accede a la red y cómo lo hace345.