RadSec: Protección del tráfico de autenticación RADIUS con TLS

Esta guía exhaustiva analiza RadSec (RADIUS sobre TLS) y detalla cómo protege el tráfico de autenticación de red en implementaciones modernas en la nube y multisitio. Proporciona a los arquitectos de red pasos prácticos de implementación, estrategias de gestión de certificados y técnicas de resolución de problemas para sustituir el legado de RADIUS sobre UDP.

📖 6 min de lectura📝 1,403 palabras🔧 2 ejemplos prácticos❓ 3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast

RadSec: Protección del tráfico de autenticación RADIUS con TLS. Una sesión técnica de Purple.

Introducción y contexto.

Bienvenido a esta sesión técnica de Purple. Le guiaré a través de RadSec — RADIUS sobre TLS —, qué es, por qué es importante en este momento y cómo se despliega realmente. Esta sesión está dirigida directamente a arquitectos de red e ingenieros de seguridad que ya utilizan RADIUS en la nube o planean migrar allí. Si todavía utiliza servidores RADIUS locales con UDP y un secreto compartido, esta sesión es para usted.

Pongámonos en situación. RADIUS ha sido la columna vertebral de la autenticación de red durante más de treinta años. Sustenta 802.1X, WPA2-Enterprise, WPA3-Enterprise y prácticamente todos los sistemas de Captive Portal en producción hoy en día. El protocolo en sí, definido en el RFC 2865, fue diseñado en una época en la que internet era un lugar muy diferente. El tráfico de autenticación entre sus dispositivos NAS (sus puntos de acceso, conmutadores y controladores) y su servidor RADIUS viajaba a través de UDP, puerto 1812 para autenticación y puerto 1813 para contabilidad. ¿Y ese tráfico? En su mayor parte, sin cifrar. La única protección era un secreto compartido utilizado para ofuscar el atributo de contraseña del usuario, e incluso eso presenta debilidades bien documentadas.

Durante años, esto fue aceptable porque el tráfico RADIUS permanecía en redes privadas y controladas. Sus dispositivos NAS y su servidor RADIUS estaban en la misma LAN, o conectados a través de un circuito MPLS dedicado. La superficie de ataque era manejable. Pero el mundo ha cambiado. La infraestructura nativa de la nube, los despliegues en recintos distribuidos, las redes superpuestas SD-WAN y la transición a servicios RADIUS en la nube han alterado fundamentalmente el modelo de amenazas. Su tráfico de autenticación ahora atraviesa el internet público o, en el mejor de los casos, una infraestructura compartida que no controla por completo. Ahí es donde entra RadSec.

Análisis técnico detallado.

RadSec, definido formalmente en el RFC 6614, es RADIUS sobre TLS. El concepto es sencillo: en lugar de enviar paquetes RADIUS sobre UDP, los encapsula dentro de una conexión TLS sobre TCP. El resultado es que todo el tráfico de autenticación y contabilidad entre su NAS y su servidor RADIUS está completamente cifrado, autenticado mutuamente y protegido en su integridad. El RFC 7360 amplía esto a DTLS (Datagram TLS sobre UDP), que conserva algunas de las características de latencia del transporte UDP original al tiempo que añade cifrado. Para la mayoría de los despliegues empresariales, TLS sobre TCP es la opción correcta. Vale la pena considerar DTLS en entornos de alto rendimiento y sensibles a la latencia, como los despliegues en grandes estadios.

Hablemos de la mecánica. RadSec funciona en el puerto TCP 2083, que es el puerto asignado por la IANA para este protocolo. Cuando un dispositivo NAS inicia una conexión RadSec, abre una conexión TCP con el servidor RADIUS en el puerto 2083 y realiza un saludo TLS. Este saludo es mutuo: tanto el cliente (su NAS) como el servidor presentan certificados X.509. El certificado del servidor se valida frente a una CA de confianza. El certificado de cliente identifica al NAS ante el servidor RADIUS. Una vez establecida la sesión TLS, los paquetes RADIUS fluyen dentro de ese túnel cifrado exactamente igual que lo harían sobre UDP, pero ahora con total confidencialidad, integridad y protección contra ataques de denegación por reenvío (replay).

Esto supone una desviación significativa del RADIUS tradicional en tres aspectos importantes. En primer lugar, el transporte es TCP, no UDP. Esto significa que obtiene una entrega fiable y ordenada. Los paquetes perdidos se retransmiten automáticamente. En segundo lugar, la autenticación de ambos extremos se basa en certificados, no en secretos compartidos. Esto elimina toda una clase de ataques basados en secretos compartidos débiles o comprometidos. En tercer lugar, se cifra todo el paquete RADIUS, no solo el atributo de contraseña. Esto significa que los nombres de usuario, los identificadores de sesión y todos los atributos de RADIUS están protegidos en tránsito.

Desde la perspectiva de la gestión de certificados, necesita una PKI (infraestructura de clave pública) para emitir y gestionar certificados tanto para su servidor RADIUS como para sus dispositivos NAS. En la práctica, la mayoría de los proveedores de RADIUS en la nube, incluida la infraestructura de autenticación nativa de la nube de Purple, se encargan de la gestión de certificados del lado del servidor por usted. Su responsabilidad es aprovisionar certificados de cliente en sus dispositivos NAS. Para despliegues a gran escala, esto se gestiona normalmente a través de su plataforma de gestión de red o un sistema de gestión de certificados dedicado. Los certificados deben utilizar como mínimo RSA de 2048 bits o ECDSA P-256, con un período de validez que equilibre la sobrecarga operativa con la higiene de seguridad; doce meses es un valor predeterminado razonable.

Ahora, abordemos la comparación con el enfoque alternativo que utilizan muchas organizaciones hoy en día: túneles IPsec o redes superpuestas VPN para proteger el tráfico RADIUS. IPsec es un enfoque perfectamente válido, pero funciona en una capa diferente. Está cifrando todo el tráfico entre dos extremos, lo que añade complejidad: debe gestionar IKE, claves precompartidas o certificados para el propio túnel, y la sobrecarga operativa de mantener el estado del túnel en potencialmente cientos de sitios. RadSec es más quirúrgico. Cifra específicamente el tráfico del protocolo RADIUS, funciona en la capa de aplicación y se integra directamente con su infraestructura RADIUS. Para despliegues de RADIUS en la nube donde se conectan muchos dispositivos NAS en recintos distribuidos a un servidor en la nube centralizado, RadSec es arquitectónicamente más limpio y operativamente más sencillo.

Permítame guiarle a través de cómo se ve un despliegue multisitio en la práctica. Tiene un servidor RADIUS en la nube (digamos que es la plataforma de Purple) con un certificado TLS válido de una CA de confianza. Tiene tres tipos de recintos: un hotel, una tienda minorista y un centro de conferencias. Cada uno tiene dispositivos NAS: puntos de acceso, conmutadores o controladores de LAN inalámbrica. Cada dispositivo NAS debe configurarse con la dirección del servidor RadSec, el puerto 2083 y un certificado de cliente. El NAS inicia la conexión TLS, se completa el saludo mutuo y, a partir de ese momento, todo el tráfico de autenticación 802.1X para invitados y personal en ese recinto fluye cifrado hacia el servidor RADIUS en la nube. Si la conexión TLS se cae (por ejemplo, debido a una interrupción de la red), el NAS la restablece automáticamente. Este modelo de conexión persistente es en realidad más eficiente que UDP para despliegues de gran volumen porque evita la sobrecarga del procesamiento por paquete.

En el lado del firewall, debe permitir TCP saliente en el puerto 2083 desde su red de gestión de NAS hacia la dirección IP o FQDN de su servidor RADIUS. Si aplica una política de salida estricta, también querrá permitir el tráfico de retorno. Esto es más sencillo que gestionar las reglas de firewall de IPsec, que a menudo requieren excepciones del protocolo ESP e IKE en UDP 500 y 4500.

Recomendaciones de implementación y errores comunes.

Hablemos de lo que realmente falla en los despliegues de RadSec, porque hay algunos modos de fallo constantes que veo en las organizaciones.

El primer problema y el más común son los fallos de validación de la cadena de certificados. Su dispositivo NAS debe confiar en la CA que firmó el certificado del servidor RADIUS. Si utiliza un proveedor de RADIUS en la nube con un certificado de una CA pública conocida (DigiCert, Let's Encrypt, Sectigo), la mayoría de los dispositivos NAS modernos confiarán en él de forma nativa. Pero si utiliza una CA interna, debe enviar el certificado de la CA a cada dispositivo NAS. Esto a menudo se pasa por alto durante el despliegue inicial y se manifiesta como fallos en el saludo TLS que parecen problemas de conectividad.

El segundo error común es la caducidad de los certificados. A diferencia de los secretos compartidos, que no caducan, los certificados tienen un período de validez definido. Si el certificado de su servidor RADIUS caduca, todos los dispositivos NAS de su infraestructura fallarán en la autenticación simultáneamente. Necesita una gestión del ciclo de vida de los certificados: renovación automatizada siempre que sea posible, y supervisión con alertas mucho antes de la caducidad. Un aviso de noventa días es el mínimo; treinta días es mejor.

El tercer problema es la compatibilidad de los dispositivos NAS. No todos los dispositivos NAS admiten RadSec de forma nativa. Las versiones más antiguas de Cisco IOS, algunos controladores Aruba heredados y ciertos puntos de acceso de consumo no son compatibles con RadSec. Antes de comprometerse con un despliegue de RadSec, audite su parque de NAS para comprobar la compatibilidad. Cisco IOS-XE 16.x y posteriores, Aruba AOS-CX, Ruckus SmartZone y la serie Juniper EX tienen un soporte sólido para RadSec. Para los dispositivos que no admiten RadSec de forma nativa, un proxy RadSec (una opción de código abierto como radsecproxy) puede salvar la brecha, aceptando RADIUS UDP de los dispositivos heredados y reenviándolo a través de TLS al servidor RADIUS en la nube.

La cuarta consideración es la persistencia de la conexión y los keepalives. RadSec utiliza conexiones TCP persistentes, pero los firewalls y dispositivos NAT con políticas de tiempo de espera agresivas pueden interrumpir silenciosamente las conexiones inactivas. Configure keepalives TCP en sus conexiones RadSec; normalmente, un intervalo de keepalive de sesenta segundos es suficiente para evitar la interrupción prematura de la conexión. La mayoría de las implementaciones de servidores RADIUS y dispositivos NAS admiten esta configuración.

Para Cisco IOS-XE, la configuración de RadSec se ve así. Define un servidor RADIUS con la dirección de su extremo de RADIUS en la nube, especifica TLS como transporte, hace referencia a su trustpoint (que es el almacén de certificados en el dispositivo) y establece el puerto de destino en 2083. A continuación, hace referencia a este servidor en la configuración de su grupo de servidores AAA. Los detalles varían según la versión de la plataforma, pero la estructura lógica es coherente entre los distintos proveedores.

Para los controladores Aruba que ejecutan AOS, configura el servidor RADIUS con la opción RadSec habilitada, especifica el certificado de la CA para la validación del servidor y, opcionalmente, configura un certificado de cliente para TLS mutuo. La implementación de Aruba es madura y está bien documentada.

Preguntas y respuestas rápidas.

Permítame repasar las preguntas que me hacen con más frecuencia sobre RadSec.

¿Añade latencia RadSec? El saludo TLS añade una pequeña sobrecarga en el establecimiento inicial de la conexión, normalmente de menos de 100 milisegundos. Una vez establecida la conexión, la sobrecarga por paquete es insignificante. Para la autenticación 802.1X, donde el saludo ocurre una vez por sesión, esto no es una preocupación significativa.

¿Puedo ejecutar RadSec junto con el RADIUS UDP tradicional? Sí. La mayoría de los servidores RADIUS admiten ambos simultáneamente. Durante una migración, puede ejecutar RadSec para los sitios que lo admitan y recurrir a UDP para los sitios heredados. Este es el enfoque de migración recomendado.

¿Es necesario RadSec para el cumplimiento de PCI DSS? La versión 4.0 de PCI DSS exige que el tráfico de autenticación esté protegido en tránsito. RadSec es una de las formas más directas de cumplir con este requisito para la autenticación basada en RADIUS. Si procesa pagos con tarjeta a través de una red que utiliza autenticación RADIUS, RadSec debería estar en su hoja de ruta de cumplimiento.

¿Funciona RadSec con EAP? Sí. EAP (protocolo de autenticación extensible) se encapsula dentro de RADIUS, por lo que EAP-TLS, PEAP y EAP-TTLS funcionan de forma transparente sobre RadSec. El intercambio EAP en sí no se ve afectado.

¿Qué pasa con la contabilidad (accounting) de RADIUS? El RFC 6614 cubre tanto el tráfico de autenticación como el de contabilidad. Sus datos de contabilidad (registros de inicio, parada y actualización provisional de la sesión) también se cifran a través de la misma conexión TLS en el puerto 2083.

Resumen y próximos pasos.

En resumen: RadSec es la capa de transporte adecuada para RADIUS en cualquier despliegue donde el tráfico de autenticación cruce una infraestructura que no controla por completo. Esto incluye RADIUS en la nube, despliegues multisitio, entornos SD-WAN y cualquier escenario donde el tráfico RADIUS atraviese el internet público o la infraestructura de un operador compartido.

Las acciones clave para su equipo son: primero, auditar su parque de NAS para comprobar la compatibilidad con RadSec e identificar cualquier dispositivo que necesite un proxy. Segundo, ponerse en contacto con su proveedor de RADIUS en la nube (o evaluar proveedores que admitan RadSec de forma nativa) y comprender su enfoque de gestión de certificados. Tercero, establecer un proceso de gestión del ciclo de vida de los certificados antes de la puesta en marcha. Cuarto, actualizar las reglas de su firewall para permitir TCP 2083 saliente desde su red de gestión de NAS. Quinto, probar su configuración de RadSec en un entorno de pruebas antes de implementarla en producción, prestando especial atención a la validación de la cadena de certificados y a la persistencia de la conexión bajo carga.

Para las organizaciones que ejecutan la plataforma de Purple para WiFi de invitados y autenticación en recintos distribuidos, RadSec es el transporte recomendado para la conectividad de RADIUS en la nube. Se alinea con la arquitectura nativa de la nube de Purple y garantiza que los datos de autenticación que fluyen entre sus recintos y la plataforma estén completamente protegidos, lo que es importante tanto para su postura de seguridad como para sus obligaciones de cumplimiento bajo GDPR y PCI DSS.

Si está planeando un despliegue o desea analizar su arquitectura específica, el equipo de Purple es el punto de partida adecuado. Esta ha sido una sesión técnica de Purple sobre RadSec. Gracias por su atención.

Conclusiones clave

✓RadSec reemplaza RADIUS sobre UDP sin cifrar por TLS seguro y cifrado a través del puerto TCP 2083.
✓Es esencial para proteger el tráfico de autenticación a través de internet público y enlaces SD-WAN.
✓RadSec utiliza TLS mutuo (mTLS), lo que requiere certificados tanto en el servidor RADIUS como en los dispositivos NAS.
✓Las conexiones TCP persistentes reducen la sobrecarga y mejoran la fiabilidad en entornos de gran volumen.
✓La implementación de RadSec simplifica las arquitecturas multisitio al eliminar la necesidad de complejas redes superpuestas VPN IPsec.
✓Los dispositivos NAS heredados que no admiten RadSec de forma nativa se pueden integrar mediante un proxy RadSec.
✓La adopción de RadSec ayuda a las organizaciones a cumplir con requisitos de cumplimiento estrictos como PCI DSS y GDPR.

Resumen ejecutivo

Durante décadas, RADIUS sobre UDP ha sido la base de la autenticación de red, confiando en redes privadas y secretos compartidos para la seguridad. A medida que las arquitecturas empresariales cambian hacia una infraestructura nativa de la nube, recintos distribuidos de Venta minorista y Hostelería , y redes superpuestas SD-WAN, el modelo de amenazas ha cambiado fundamentalmente. El tráfico RADIUS ahora atraviesa con frecuencia redes públicas o compartidas, exponiendo los datos de autenticación a la interceptación.

RadSec (RADIUS sobre TLS), definido en el RFC 6614, resuelve esto encapsulando los paquetes RADIUS dentro de un túnel TLS mutuamente autenticado. Esta guía proporciona una referencia técnica completa para arquitectos de red e ingenieros de seguridad sobre el despliegue de RadSec. Cubrimos las diferencias arquitectónicas con respecto al RADIUS tradicional, los requisitos de gestión de certificados, las configuraciones de firewall y las consideraciones prácticas de despliegue para la integración con plataformas RADIUS en la nube como la infraestructura de WiFi de invitados y Analítica WiFi de Purple. Al adoptar RadSec, las organizaciones pueden garantizar una seguridad sólida, cumplir con requisitos de cumplimiento estrictos como PCI DSS y GDPR, y simplificar las arquitecturas de autenticación multisitio.

Análisis técnico detallado

La evolución del transporte RADIUS

El protocolo Remote Authentication Dial-In User Service (RADIUS), originalmente definido en el RFC 2865, fue diseñado para una era diferente de las redes. Utiliza UDP como su capa de transporte (puerto 1812 para autenticación, 1813 para contabilidad). En el RADIUS tradicional, la carga útil (payload) viaja en su mayor parte sin cifrar en tránsito. El único mecanismo de protección es la ofuscación del atributo User-Password mediante un secreto compartido entre el Servidor de Acceso a la Red (NAS) y el servidor RADIUS.

Aunque esto era suficiente cuando los dispositivos NAS y los servidores RADIUS residían en la misma LAN física o en circuitos MPLS dedicados, las arquitecturas modernas han superado este modelo. Como se analiza en nuestro artículo sobre Los beneficios principales de SD-WAN para las empresas modernas , las empresas distribuidas ahora dependen del transporte por internet para la conectividad entre sitios. El envío de tráfico RADIUS sin cifrar a través del internet público expone las credenciales de los usuarios, los identificadores de sesión y las políticas de acceso a la red a la interceptación y la manipulación.

RadSec: RADIUS sobre TLS (RFC 6614)

RadSec aborda estas vulnerabilidades cambiando la capa de transporte. En lugar de UDP, RadSec utiliza el puerto TCP 2083. Antes de que se intercambie cualquier paquete RADIUS, el NAS y el servidor RADIUS establecen una conexión TLS (Transport Layer Security).

Las características técnicas principales de RadSec incluyen:

Transporte TCP: RadSec proporciona una entrega fiable y ordenada. Esto elimina la necesidad de retransmisiones en la capa de aplicación inherentes a RADIUS sobre UDP, que pueden causar problemas en entornos de alta latencia.
Cifrado completo de la carga útil: Todo el paquete RADIUS (incluidas las cabeceras y todos los atributos) se cifra dentro del túnel TLS.
Autenticación mutua (mTLS): Tanto el servidor RADIUS como el dispositivo NAS se autentican mutuamente mediante certificados X.509. Esto sustituye el débil modelo de secreto compartido por una infraestructura de clave pública (PKI) robusta.
Conexiones persistentes: A diferencia de RADIUS sobre UDP, que no tiene conexión, RadSec mantiene una conexión TCP persistente. Esto reduce la sobrecarga de establecer una nueva conexión para cada solicitud de autenticación, lo que resulta muy eficiente para recintos con gran actividad.

Nota: El RFC 7360 define RADIUS sobre DTLS (Datagram TLS), que utiliza UDP. Aunque es útil en escenarios específicos de alto rendimiento, TLS sobre TCP sigue siendo el estándar para los despliegues empresariales de RADIUS en la nube.

Arquitectura en entornos distribuidos

En un despliegue multisitio típico, como un proveedor nacional de Sanidad o una cadena de centros de Transporte , RadSec simplifica significativamente la arquitectura.

En lugar de construir complejas mallas VPN IPsec desde cada sucursal de vuelta a un centro de datos central para proteger el tráfico RADIUS, cada dispositivo NAS establece una conexión TLS RadSec directa a través de internet con el proveedor de RADIUS en la nube. Este es un modelo de seguridad en la capa de aplicación que es más limpio de desplegar y más fácil de solucionar que las VPN en la capa de red.

Guía de implementación

El despliegue de RadSec requiere la coordinación entre la infraestructura de red, las autoridades de certificación y las políticas de firewall. Siga estos pasos independientes del proveedor para garantizar un despliegue exitoso.

1. Preparación de la infraestructura de certificados

RadSec se basa en mTLS. Necesita certificados tanto para el servidor como para los clientes (dispositivos NAS).

Certificado del servidor: Su proveedor de RADIUS en la nube (por ejemplo, Purple) presentará un certificado de servidor firmado por una Autoridad de Certificación (CA) pública o una CA interna. Sus dispositivos NAS deben tener instalado el certificado de la CA raíz en su almacén de confianza para validar el servidor.
Certificados de cliente: Cada dispositivo NAS necesita un certificado de cliente para identificarse ante el servidor RADIUS. Genérelos a través de su PKI interna o sistema de gestión de red. Asegúrese de que utilicen al menos claves RSA de 2048 bits o ECDSA P-256.

2. Configuración del firewall

RadSec requiere reglas de salida específicas desde sus interfaces de gestión de NAS:

Protocolo*: TCP
Puerto de destino: 2083
IP/FQDN de destino: Las direcciones de sus servidores RADIUS en la nube principales y secundarios.
Stateful Inspection: Asegúrese de que el cortafuegos permita el tráfico de retorno para las conexiones TCP establecidas.
Keepalives: Configure los valores de tiempo de espera (timeout) de TCP del cortafuegos para que sean superiores al intervalo de keepalive de RadSec (normalmente 60 segundos) para evitar caídas de conexión silenciosas.

3. Configuración del dispositivo NAS (flujo de trabajo genérico)

Aunque la sintaxis específica varía según el proveedor (Cisco, Aruba, Juniper, etc.), los pasos lógicos de configuración son consistentes:

Importar certificado CA: Cargue el certificado CA que firmó el certificado del servidor RADIUS en el almacén de confianza del NAS.
Importar certificado de cliente: Cargue el certificado de cliente y la clave privada del dispositivo NAS.
Definir servidor RADIUS: Configure la IP/FQDN del servidor RADIUS.
Habilitar RadSec: Especifique TLS como protocolo de transporte y configure el puerto en 2083.
Vincular certificados: Asocie los certificados importados con la configuración del servidor RadSec.
Aplicar al perfil AAA: Añada el servidor RadSec a los grupos de autenticación y contabilidad (accounting) AAA pertinentes.

4. Gestión de dispositivos heredados (RadSec Proxy)

No todos los dispositivos NAS admiten RadSec de forma nativa. Para switches más antiguos o puntos de acceso de consumo, implemente un proxy RadSec (como radsecproxy). El proxy se ubica en la LAN local, acepta el tráfico RADIUS UDP tradicional de los dispositivos heredados y lo reenvía a través de un túnel TLS RadSec seguro al servidor RADIUS en la nube.

Buenas prácticas

Gestión del ciclo de vida de los certificados: Implemente la renovación automatizada de certificados para los dispositivos NAS. Una expiración masiva de certificados de cliente provocará una interrupción generalizada de la red. Supervise la validez de los certificados y configure alertas a los 90, 60 y 30 días antes de su vencimiento.
Alta disponibilidad: Configure siempre servidores RadSec principales y secundarios. Dado que el establecimiento de la conexión TCP tarda más que la transmisión de un paquete UDP, configure temporizadores de failover agresivos en el NAS para cambiar rápidamente al servidor secundario si se cae la conexión principal.
TCP Keepalives: Habilite los keepalives TCP en el dispositivo NAS para detectar conexiones inactivas y evitar que los cortafuegos interrumpan las sesiones inactivas. El intervalo estándar es de 60 segundos.
Validación estricta de certificados: Asegúrese de que los dispositivos NAS estén configurados para validar estrictamente el certificado del servidor, lo que incluye comprobar el Nombre alternativo del sujeto (SAN) con el nombre de host del servidor configurado. No desactive la validación de certificados en entornos de producción.
Preparación para el futuro: A medida que evolucionan los estándares inalámbricos, como los analizados en nuestra guía WiFi 6E vs WiFi 7: lo que los recintos necesitan saber , el volumen de tráfico de autenticación aumentará. Las conexiones TCP persistentes de RadSec están mejor adaptadas para manejar esta densidad que UDP.

Resolución de problemas y mitigación de riesgos

Cuando las implementaciones de RadSec fallan, el problema rara vez es el propio protocolo RADIUS; casi siempre está relacionado con TLS o TCP.

Modos de fallo comunes

Fallos de handshake TLS (CA desconocida): El dispositivo NAS rechaza el certificado del servidor RADIUS porque la CA de firma no se encuentra en el almacén de confianza del NAS.
- Mitigación: Verifique la cadena de CA exacta utilizada por el servidor y asegúrese de que las CA raíz (y cualquier CA intermedia) estén instaladas en el NAS.
Caídas de conexión silenciosas: La conexión RadSec se establece correctamente, pero las solicitudes de autenticación agotan el tiempo de espera (timeout) tras un periodo de inactividad. Esto suele deberse a que un cortafuegos de estado (stateful) interrumpe la conexión TCP inactiva.
- Mitigación: Habilite los keepalives TCP en el NAS y verifique la configuración del tiempo de espera de la sesión del cortafuegos para el puerto 2083.
Desviación del reloj (Clock Skew): La validación de certificados TLS depende de una hora del sistema precisa. Si el reloj del dispositivo NAS está significativamente desincronizado, evaluará los certificados válidos como caducados o aún no válidos.
- Mitigación: Asegúrese de que todos los dispositivos NAS estén sincronizados con servidores NTP fiables antes de iniciar conexiones RadSec.

ROI e impacto empresarial

La transición a RadSec proporciona un valor empresarial medible más allá de las mejoras de seguridad técnica:

Cumplimiento y reducción de riesgos: RadSec cifra los datos de autenticación en tránsito, cumpliendo directamente con los requisitos de PCI DSS v4.0 y GDPR. Esto mitiga los riesgos financieros y de reputación asociados con la interceptación de credenciales.
Eficiencia operativa: Reemplazar las complejas VPN IPsec de sitio a sitio por RadSec en la capa de aplicación reduce la sobrecarga de ingeniería de red. Resolver problemas en una conexión TLS con un proveedor de la nube es significativamente más rápido que depurar el enrutamiento VPN y las negociaciones de fase IKE en cientos de sucursales.
Preparación para la nube: RadSec es la tecnología que habilita la autenticación nativa de la nube. Al adoptarla, las organizaciones pueden integrarse sin problemas con proveedores de identidad modernos y plataformas como Purple, reduciendo la infraestructura de servidores locales y los costes de licencias.

Definiciones clave

RadSec

Un protocolo que encapsula los datos de autenticación y contabilidad de RADIUS dentro de un túnel de seguridad de la capa de transporte (TLS).

Utilizado para proteger el tráfico de autenticación en redes no confiables, reemplazando el legado de RADIUS sobre UDP.

mTLS (Mutual TLS)

Un proceso de autenticación en el que tanto el cliente (NAS) como el servidor (RADIUS) verifican mutuamente sus certificados X.509 durante el saludo TLS.

Proporciona una seguridad más sólida que el modelo tradicional de secreto compartido de RADIUS al garantizar que ambos extremos se verifiquen criptográficamente.

NAS (Network Access Server)

El dispositivo que proporciona acceso de red a los usuarios y actúa como cliente RADIUS. En las redes modernas, suele ser un punto de acceso inalámbrico, un conmutador (switch) o un controlador de LAN inalámbrica.

El NAS es responsable de iniciar la conexión RadSec con el servidor RADIUS en la nube.

PKI (Public Key Infrastructure)

El marco de funciones, políticas, hardware, software y procedimientos necesarios para crear, gestionar, distribuir, utilizar, almacenar y revocar certificados digitales.

Esencial para gestionar los certificados requeridos por los despliegues de RadSec en grandes infraestructuras.

TCP Keepalive

Un mecanismo que envía paquetes TCP vacíos a través de una conexión inactiva para verificar que la conexión sigue activa y evitar que los firewalls de inspección de estado interrumpan la sesión.

Crucial para mantener conexiones RadSec persistentes durante períodos de baja actividad de autenticación.

RadSec Proxy

Un servicio de software que actúa como intermediario, recibiendo el tráfico RADIUS UDP tradicional de los dispositivos heredados y reenviándolo a través de una conexión TLS segura de RadSec.

Utilizado para salvar la brecha en entornos donde el hardware de red más antiguo no es compatible de forma nativa con RadSec.

X.509 Certificate

Un certificado digital que utiliza el estándar internacional PKI X.509 ampliamente aceptado para verificar que una clave pública pertenece a la identidad del usuario, ordenador o servicio contenida en el certificado.

La base criptográfica utilizada por RadSec para establecer la identidad y cifrar el túnel TLS.

EAP (Extensible Authentication Protocol)

Un marco de autenticación utilizado con frecuencia en redes inalámbricas y conexiones punto a punto.

El tráfico EAP (como EAP-TLS o PEAP) se encapsula dentro de los paquetes RADIUS, lo que significa que RadSec transporta de forma segura el intercambio EAP.

Ejemplos prácticos

Una cadena de distribución nacional con 500 ubicaciones está migrando de servidores RADIUS locales a Cloud RADIUS de Purple. La arquitectura existente utiliza RADIUS sin cifrar sobre UDP a través de una combinación de enlaces MPLS y SD-WAN. 450 ubicaciones disponen de puntos de acceso Aruba modernos, mientras que 50 ubicaciones utilizan hardware heredado que no es compatible con RadSec. ¿Cómo debería diseñar el arquitecto de red el nuevo transporte de autenticación?

El arquitecto debería implementar un despliegue híbrido de RadSec. Para las 450 ubicaciones con AP de Aruba modernos, configure RadSec nativo directamente en los AP o en los controladores locales. Instale el certificado de la CA raíz de Cloud RADIUS de Purple en los dispositivos Aruba y aprovisione los certificados de cliente a través de la plataforma de gestión de red. Configure reglas de firewall de salida para TCP 2083. Para las 50 ubicaciones heredadas, despliegue un proxy RadSec ligero (por ejemplo, una pequeña máquina virtual Linux o un contenedor que ejecute radsecproxy) en cada sitio. Los AP heredados enviarán RADIUS UDP estándar al proxy local, que luego encapsulará el tráfico en un túnel TLS hacia la nube de Purple.

Comentario del examinador: Este enfoque equilibra los estándares de seguridad modernos con las limitaciones del hardware heredado. Al utilizar RadSec nativo siempre que sea posible, el arquitecto minimiza las partes móviles. La solución de proxy para los sitios heredados garantiza que todo el tráfico que atraviesa la WAN/internet esté cifrado sin necesidad de una renovación de hardware inmediata y costosa.

Durante un despliegue de RadSec en un gran centro de conferencias, el equipo de red observa que los dispositivos NAS autentican correctamente a los usuarios durante los períodos de gran actividad, pero no logran autenticar a los primeros usuarios a primera hora de la mañana. Las capturas de paquetes muestran que el NAS intenta enviar tráfico RADIUS, pero recibe paquetes TCP RST del firewall.

El problema se debe a que el tiempo de espera de sesión TCP agresivo del firewall interrumpe la conexión inactiva de RadSec durante la noche. El equipo de red debe configurar keepalives TCP en los dispositivos NAS para la conexión RadSec, estableciendo el intervalo en 60 segundos. Además, deben revisar las reglas de inspección de estado del firewall para el puerto TCP 2083 y asegurarse de que el tiempo de espera de la sesión sea superior al intervalo de keepalive.

Comentario del examinador: RadSec se basa en conexiones TCP persistentes. A diferencia de UDP, que no tiene estado, las conexiones TCP deben mantenerse activamente. Los ingenieros de red que realizan la transición desde RADIUS sobre UDP a menudo pasan por alto la persistencia de la conexión, lo que provoca fallos intermitentes que parecen tiempos de espera de autenticación.

Preguntas de práctica

Q1. Está diseñando la política de firewall para un nuevo despliegue de RadSec que conecta 50 sucursales a la plataforma Cloud RADIUS de Purple. ¿Qué reglas de salida específicas deben configurarse en los firewalls de las sucursales?

Sugerencia: Considere tanto el protocolo como la naturaleza de inspección de estado (stateful) de la conexión.

Ver respuesta modelo

Los firewalls de las sucursales deben permitir el tráfico TCP saliente en el puerto 2083 con origen en las direcciones IP de gestión de los NAS y destino a las direcciones IP o FQDN de los servidores Cloud RADIUS de Purple. Dado que TCP es un protocolo con estado (stateful), el firewall permitirá automáticamente el tráfico de retorno para las sesiones establecidas. Los puertos UDP 1812 y 1813 no son necesarios para RadSec.

Q2. Un ingeniero junior informa que un conmutador (switch) recién configurado no logra establecer una conexión RadSec con el servidor RADIUS en la nube. Los registros del conmutador muestran: `TLS handshake failed: unknown CA`. ¿Cómo debería resolver esto?

Sugerencia: El conmutador (switch) no confía intrínsecamente en el certificado presentado por el servidor.

Ver respuesta modelo

Debe identificar la Autoridad de Certificación (CA) que emitió el certificado del servidor RADIUS en la nube. Una vez identificada, obtenga el certificado de la CA raíz pública (y cualquier certificado de CA intermedia) e impórtelos en el almacén de confianza del conmutador. Esto permite que el conmutador verifique criptográficamente la identidad del servidor durante el saludo TLS.

Q3. Su organización exige que toda la infraestructura de red deba sobrevivir a una interrupción de la WAN. Si la conexión a internet con el servidor RADIUS en la nube falla, ¿qué ocurre con la conexión RadSec y cómo gestiona el NAS las solicitudes de autenticación posteriores?

Sugerencia: Considere los estados de conexión TCP y los mecanismos estándar de conmutación por error (failover) de RADIUS.

Ver respuesta modelo

Cuando la WAN falla, la conexión TCP persistente eventualmente agotará el tiempo de espera (o se restablecerá explícitamente si la interfaz local se cae). El NAS marcará el servidor RadSec primario como inaccesible. Si se configura un servidor RadSec secundario (por ejemplo, en una región geográfica diferente), el NAS intentará establecer una nueva conexión TLS con él. Si todos los servidores RADIUS son inaccesibles, las nuevas autenticaciones fallarán. Sin embargo, los usuarios que ya estén autenticados y conectados normalmente permanecerán conectados hasta que expire su sesión o realicen roaming, ya que RADIUS solo interviene durante la autenticación inicial y las fases periódicas de reautenticación.

Continúe leyendo esta serie

Términos y condiciones de la WiFi para empleados: Aspectos legales y de cumplimiento esenciales

Esta guía cubre los aspectos legales y técnicos esenciales para redactar y aplicar los términos y condiciones de la WiFi para empleados en establecimientos corporativos. Detalla qué incluir en una Política de Uso Aceptable (AUP), cómo cumplir con los requisitos de GDPR y PCI DSS, y cómo implementar la autenticación basada en la identidad y la segmentación de red para proteger los activos corporativos. Los responsables de TI, equipos de RR. HH. y directores de operaciones de hoteles, cadenas de tiendas, estadios y organizaciones del sector público encontrarán pautas prácticas que podrán implementar este trimestre.

Políticas de WiFi para el personal en el sector minorista: protección de las redes back-of-house

Esta guía cubre los requisitos técnicos y de políticas críticos para proteger las redes WiFi back-of-house en el sector minorista, desde la segmentación de VLAN y el cumplimiento de PCI DSS 4.0 hasta la gestión de dispositivos BYOD de los empleados en la tienda. Ofrece a los responsables de TI, arquitectos de redes y directores de operaciones un plan práctico y neutral respecto al proveedor que pueden implementar este trimestre.

The Future of Wi-Fi Security: AI-Driven NAC and Threat Detection

Esta guía autorizada explora la evolución de la seguridad Wi-Fi empresarial, desde el WPA2 heredado hasta el Control de Acceso a la Red (NAC) impulsado por IA y la detección de amenazas. Diseñada para líderes de TI, proporciona estrategias de implementación prácticas para asegurar entornos de alta densidad como comercios minoristas, hostelería y estadios utilizando las redes basadas en identidad de Purple.