RadSec: Cómo RADIUS sobre TLS mejora la seguridad de la autenticación WiFi

RadSec: Cómo RADIUS sobre TLS mejora la seguridad de la autenticación WiFi Un informe de inteligencia de Purple Enterprise WiFi Duración aproximada: 10 minutos --- [INTRODUCCIÓN Y CONTEXTO — aprox. 1 minuto] Bienvenido a la serie de inteligencia de Purple Enterprise WiFi. Soy su anfitrión, y hoy abordamos un tema que se sitúa justo en la intersección de la seguridad de red y el riesgo operativo: RadSec (definido formalmente en el RFC 6614) y por qué debería estar en su hoja de ruta de infraestructura si aún no lo está. Si es un responsable de TI, arquitecto de red o CTO responsable de la red WiFi empresarial en un grupo hotelero, un sector minorista, un estadio o un campus del sector público, este informe es para usted. Vamos a cubrir qué es realmente RadSec, por qué el protocolo RADIUS tradicional le deja expuesto, cómo desplegar RadSec en un entorno real y los errores comunes que atrapan a los equipos. Nada de teoría por amor al arte: solo la información que necesita para tomar una decisión este trimestre. Comencemos. --- [ANÁLISIS TÉCNICO DETALLADO — aprox. 5 minutos] Empecemos con el problema. RADIUS (Remote Authentication Dial-In User Service) ha sido la columna vertebral de la autenticación WiFi empresarial desde la década de 1990. Cuando un usuario o dispositivo se conecta a su WiFi corporativa o de invitados, el punto de acceso actúa como un cliente RADIUS, reenviando las solicitudes de autenticación a un servidor RADIUS, que valida las credenciales contra su directorio (Active Directory, LDAP o un proveedor de identidad en la nube) y concede o deniega el acceso. Este es el modelo de autenticación 802.1X que sustenta las redes WPA2-Enterprise y WPA3-Enterprise. El problema es que el RADIUS tradicional se diseñó para una época diferente. Funciona sobre UDP (User Datagram Protocol) en los puertos 1812 y 1813. UDP no tiene conexión, lo que significa que no hay saludo, ni estado de sesión y, lo que es más crítico, no hay cifrado nativo. La única protección entre su punto de acceso y su servidor RADIUS es un secreto compartido (esencialmente una contraseña) que se utiliza para ofuscar la contraseña del usuario en tránsito mediante el hash MD5. MD5, como la mayoría de ustedes sabrá, está criptográficamente roto. Lleva roto años. ¿Qué significa esto en la práctica? Significa que en cualquier segmento de red donde un atacante pueda interceptar el tráfico RADIUS (lo que incluye conmutadores comprometidos, dispositivos no autorizados en su VLAN de gestión o cualquier punto entre un punto de acceso remoto y un servidor RADIUS alojado en la nube), potencialmente pueden capturar los intercambios de autenticación, intentar ataques de diccionario sin conexión contra el secreto compartido y, en algunas configuraciones, exponer por completo las credenciales de los usuarios. Para un grupo hotelero que ofrece WiFi para invitados en 200 propiedades, o una cadena de tiendas con puntos de acceso en cada establecimiento que se conectan a un servidor RADIUS central a través de la internet pública, este no es un riesgo teórico. Es una superficie de ataque activa. Esto es exactamente lo que resuelve RadSec. RadSec (definido en el RFC 6614 y actualizado por el RFC 7360) envuelve el tráfico RADIUS dentro de un túnel TLS. En lugar de UDP, utiliza TCP en el puerto 2083. En lugar de un secreto compartido y MD5, utiliza autenticación TLS mutua con certificados X.509. Tanto el cliente RADIUS como el servidor RADIUS presentan certificados, verifican la identidad del otro y establecen una sesión cifrada antes de que se intercambie cualquier dato de autenticación. TLS 1.3 es la versión recomendada actualmente, lo que proporciona secreto perfecto hacia adelante y elimina una serie de vulnerabilidades de cifrado heredadas. El efecto práctico es significativo. Los datos de credenciales, los atributos de usuario y los tokens de sesión se cifran de extremo a extremo entre el punto de acceso (o un proxy RadSec) y el servidor RADIUS. Un atacante que intercepte el tráfico en el cable solo verá registros TLS cifrados. El secreto compartido sigue presente por compatibilidad con versiones anteriores, pero ya no realiza ningún trabajo de seguridad significativo: TLS se encarga de la carga. Hay otra dimensión aquí que es cada vez más relevante: la itinerancia. La federación Eduroam, utilizada por universidades e instituciones de investigación en Europa y más allá, lleva años utilizando RadSec como parte de su infraestructura de itinerancia interinstitucional. Más recientemente, el estándar OpenRoaming de la Wi-Fi Alliance (que permite una itinerancia WiFi fluida en los establecimientos participantes) exige RadSec para todo el tráfico de la federación. Si está desplegando una infraestructura compatible con OpenRoaming, RadSec no es opcional; es un requisito previo. Purple admite OpenRoaming bajo su licencia Connect, actuando como proveedor de identidad dentro de la federación, y RadSec es fundamental para el funcionamiento de ese tejido de itinerancia segura. Desde el punto de vista del cumplimiento, RadSec es cada vez más relevante para PCI DSS 4.0, que endurece los requisitos en torno a la protección de los datos de autenticación en tránsito. Si su infraestructura WiFi toca entornos de tarjetas de pago (y en el comercio minorista y la hostelería, con frecuencia lo hace), la brecha de cifrado en el RADIUS tradicional es un hallazgo que tarde o temprano aparecerá en una auditoría. El GDPR exige de manera similar medidas técnicas adecuadas para proteger los datos personales; las credenciales de usuario y los metadatos de sesión que fluyen sin cifrar por su red son difíciles de defender en una auditoría de protección de datos. Hablemos ahora de arquitectura. Existen dos patrones de despliegue principales para RadSec. El primero es el soporte nativo de RadSec en su servidor RADIUS y puntos de acceso. FreeRADIUS 3.0 y versiones superiores admiten RadSec de forma nativa. Microsoft NPS no admite RadSec de forma nativa en sus versiones actuales, lo que representa una limitación importante para las organizaciones que ejecutan una infraestructura centrada en Windows. Cisco ISE admite RadSec. Aruba ClearPass admite RadSec. Si tanto su servidor RADIUS como el proveedor de sus puntos de acceso admiten RadSec de forma nativa, este es el camino más limpio: configure certificados TLS en ambos extremos, abra el puerto TCP 2083 en su cortafuegos y cifrará el tráfico RADIUS de extremo a extremo. El segundo patrón es un proxy RadSec. Este es el despliegue más común en la práctica, especialmente para organizaciones con infraestructura RADIUS heredada o entornos de múltiples proveedores. Un proxy RadSec (radsecproxy es la implementación de código abierto más desplegada) se sitúa entre sus puntos de acceso y su servidor RADIUS. Los puntos de acceso envían RADIUS estándar sobre UDP al proxy en la red local. El proxy finaliza esa conexión, vuelve a encapsular el tráfico RADIUS dentro de un túnel TLS y lo reenvía al servidor RADIUS ascendente a través de TCP 2083. Este enfoque le permite añadir RadSec a una infraestructura existente sin reemplazar su servidor RADIUS, y es especialmente útil cuando su servidor RADIUS está alojado en la nube o se accede a él a través de la internet pública. La gestión de certificados es la complejidad operativa que debe planificar. Necesitará una PKI (infraestructura de clave pública) para emitir y gestionar los certificados X.509 utilizados para la autenticación TLS mutua. Eso significa una autoridad de certificación, la emisión de certificados para cada cliente y servidor RADIUS, y un proceso para la rotación de certificados antes de su vencimiento. Los certificados que caduquen sin que nadie se dé cuenta interrumpirán la autenticación de todos los usuarios de su red simultáneamente, y ese es un escenario que querrá evitar. Automatice la renovación de certificados utilizando ACME o la API de su CA, y configure alertas de supervisión con suficiente antelación a las fechas de vencimiento. --- [RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES — aprox. 2 minutos] Permítame darle algunas recomendaciones prácticas. Primero: realice una auditoría antes de desplegar. Identifique cada cliente RADIUS (puntos de acceso, concentradores VPN, conmutadores que realizan 802.1X) y cada servidor RADIUS en su entorno. Entienda cuáles admiten RadSec de forma nativa y cuáles necesitarán un proxy. Esta auditoría suele revelar dispositivos heredados que no admiten TLS en absoluto, y estos deben incluirse en su hoja de ruta de sustitución. Segundo: comience con el tráfico de mayor riesgo. Si tiene tráfico RADIUS que atraviesa la internet pública (sitios remotos, RADIUS alojado en la nube, grupos hoteleros con múltiples propiedades), esa es su primera prioridad. El tráfico RADIUS local en una VLAN de gestión bien segmentada presenta un riesgo menor, pero aun así debería estar en la hoja de ruta. Tercero: pruebe a fondo TLS mutuo antes de la puesta en marcha. El modo de fallo más común en los despliegues de RadSec son los errores de validación de certificados: nombres comunes que no coinciden, certificados intermedios caducados o clientes que no confían en la CA que firmó el certificado del servidor. Utilice openssl s_client para probar los saludos TLS antes de transferir el tráfico de producción. Cuarto: no descuide la supervisión. RadSec añade una capa de conexión TCP que el RADIUS tradicional no tiene. Los fallos de conexión TCP, los tiempos de espera de saludo TLS y los errores de certificado se manifestarán como fallos de autenticación para sus usuarios. Asegúrese de que los registros de su servidor RADIUS y los registros de su proxy se envíen a su SIEM o plataforma de supervisión para que pueda distinguir un problema de conectividad de RadSec de un problema de política de autenticación. El error que veo con más frecuencia es que las organizaciones despliegan RadSec en el lado del servidor pero olvidan actualizar las reglas de su cortafuegos. El puerto TCP 2083 debe estar abierto entre cada cliente RADIUS y el servidor o proxy RADIUS. Si está acostumbrado a gestionar reglas UDP 1812, el puerto TCP 2083 puede pasarse por alto en el proceso de cambio del cortafuegos. --- [PREGUNTAS Y RESPUESTAS RÁPIDAS — aprox. 1 minuto] Permítame repasar algunas preguntas que escucho con regularidad. "¿Reemplaza RadSec a 802.1X?" No. RadSec protege la capa de transporte entre el punto de acceso y el servidor RADIUS. 802.1X es el marco de autenticación entre el dispositivo cliente y el punto de acceso. Operan en capas diferentes y son complementarios. "¿Está admitido RadSec en todos los proveedores de puntos de acceso?" No universalmente. Cisco, Aruba, Ruckus y Meraki tienen diferentes niveles de soporte para RadSec; verifique su versión específica de firmware. Allí donde no haya soporte nativo, un proxy RadSec es su solución. "¿Qué pasa con DTLS (RADIUS sobre DTLS)?" El RFC 7360 define RADIUS sobre DTLS, que utiliza UDP en lugar de TCP, conservando algunas de las características sin conexión del RADIUS tradicional al tiempo que añade cifrado. Está menos desplegado que RadSec sobre TLS, pero vale la pena evaluarlo si la latencia es una preocupación en entornos de alto rendimiento. "¿Cómo afecta esto al rendimiento de la itinerancia?" La conexión TCP de RadSec es persistente, lo que en realidad puede mejorar el rendimiento de la itinerancia en entornos federados al reducir la sobrecarga de configuración de la conexión para las solicitudes de autenticación posteriores. --- [RESUMEN Y PRÓXIMOS PASOS — aprox. 1 minuto] Para resumir: RadSec es la respuesta madura y basada en estándares a una brecha de seguridad real en el RADIUS tradicional. Si gestiona WiFi empresarial a gran escala (en múltiples ubicaciones, a través de internet o en entornos sujetos a PCI DSS o GDPR), la pregunta no es si debe desplegar RadSec, sino cuándo y cómo. Sus próximos pasos: audite su infraestructura RADIUS esta semana. Identifique sus flujos de tráfico de mayor riesgo. Consulte la documentación del proveedor de su servidor RADIUS y de sus puntos de acceso para verificar el soporte nativo de RadSec. Si utiliza FreeRADIUS, puede tener un despliegue de prueba de RadSec funcionando en un día. Si utiliza Microsoft NPS, comience a evaluar un proxy o una ruta de migración a un servidor compatible con RadSec. La plataforma de Purple está diseñada para integrarse con la infraestructura RADIUS empresarial, admitiendo flujos de autenticación seguros tanto para entornos WiFi corporativos como de invitados. Si desea comprender cómo encaja RadSec en su despliegue específico, el equipo de Purple puede guiarle en el proceso. Gracias por escuchar. Hasta la próxima. --- FIN DEL GUION