¿Qué es Cloud RADIUS? Una guía completa de RADIUS como servicio

Esta guía completa explora Cloud RADIUS (RADIUS como servicio), detallando su arquitectura, métodos EAP y estrategias de implementación. Proporciona a los líderes de TI información práctica sobre la migración de servidores locales a un modelo de autenticación basado en la nube que es escalable, seguro y cumple con las normativas.

📖 5 min de lectura📝 1,077 palabras🔧 2 ejemplos resueltos❓ 3 preguntas de práctica📚 8 definiciones clave

Escucha esta guía

Ver transcripción del podcast

¿Qué es Cloud RADIUS? Una guía completa de RADIUS como servicio.

Bienvenido al podcast de inteligencia de Purple WiFi. Soy su anfitrión, y hoy realizaremos una sesión informativa detallada sobre Cloud RADIUS: qué es, cómo funciona internamente y, fundamentalmente, cómo evaluar si es la decisión correcta para su organización este trimestre. Ya sea que dirija un grupo hotelero, una cadena minorista, un estadio o una red del sector público, esto es para usted.

Preparemos el escenario.

Introducción y contexto.

Si alguna vez ha tenido que explicar a una junta directiva por qué se cayó su servidor de autenticación de red a las 2:00 a. m. y por qué tomó tres horas restablecerlo, ya comprende el problema central que resuelve Cloud RADIUS. La infraestructura RADIUS local tradicional es potente, pero conlleva una carga operativa significativa. Hardware que adquirir, ciclos de parches que gestionar, redundancia que diseñar manualmente y un único punto de falla ubicado en su sala de servidores.

Cloud RADIUS, o RADIUS como servicio, traslada esa capa de autenticación a un entorno de nube administrado y de alta disponibilidad. El protocolo en sí (Remote Authentication Dial-In User Service) no ha cambiado. Sigue siendo la columna vertebral del control de acceso a la red IEEE 802.1X, el mismo mecanismo que utilizan sus puntos de acceso para validar quién ingresa a su red. Pero la infraestructura que lo ejecuta ahora es problema de otra persona. Y en el sector de TI empresarial, ese es un cambio significativo.

Así que entremos en los detalles técnicos.

Análisis técnico detallado.

RADIUS se definió originalmente en el RFC 2865, publicado en el año 2000, y ha demostrado ser notablemente duradero. El protocolo funciona bajo un modelo cliente-servidor. Su dispositivo de acceso a la red, ya sea un punto de acceso WiFi, un concentrador VPN o un switch cableado, actúa como el cliente RADIUS, también llamado Network Access Server o NAS. Cuando un usuario intenta conectarse, el NAS reenvía un paquete Access-Request al servidor RADIUS, el cual valida las credenciales frente a un directorio de usuarios (normalmente Active Directory, LDAP o un proveedor de identidad en la nube) y devuelve un Access-Accept o un Access-Reject.

Ese es el intercambio principal. Pero la verdadera complejidad radica en lo que sucede a su alrededor: métodos EAP, asignación de VLAN, aplicación de políticas, registros de contabilidad y gestión de certificados.

En una implementación local tradicional, usted ejecuta FreeRADIUS o Microsoft NPS en hardware dedicado, gestionando sus propios certificados, configurando su propia conmutación por error y manteniendo su propia sincronización de base de datos de usuarios. Para una implementación en un solo sitio con un equipo de TI competente, eso es manejable. Para una cadena minorista de 50 sitios o un grupo hotelero con propiedades en varios países, se convierte en una carga operativa significativa.

Cloud RADIUS abstrae todo eso. La lógica de autenticación, la infraestructura de certificados, la redundancia y el motor de políticas se entregan como un servicio administrado. Sus puntos de acceso apuntan a endpoints de RADIUS alojados en la nube (normalmente una dirección IP primaria y secundaria) y el servicio se encarga de todo lo que hay detrás.

Ahora, hablemos de los métodos de autenticación, porque aquí es donde las decisiones técnicas realmente importan.

El método EAP más común en el WiFi empresarial es PEAP (Protected EAP), que canaliza MSCHAPv2 dentro de una sesión TLS. Es ampliamente compatible, funciona con Active Directory de forma nativa y es el predeterminado para la mayoría de los dispositivos Windows y Android. Sin embargo, PEAP tiene vulnerabilidades conocidas, particularmente en torno a la validación de certificados. Si sus dispositivos cliente no están configurados para verificar el certificado del servidor, queda expuesto a ataques de recopilación de credenciales a través de puntos de acceso no autorizados.

EAP-TLS es el estándar de oro. Utiliza autenticación mutua de certificados (tanto el servidor como el cliente presentan certificados), lo que elimina por completo la superficie de ataque de contraseñas. La desventaja es la implementación de certificados de cliente, que requiere una infraestructura PKI y la integración con un MDM. Para flotas de dispositivos administrados, esta es absolutamente la opción correcta. Para entornos BYOD, es más complejo.

También vale la pena conocer EAP-TTLS y EAP-FAST. TTLS es particularmente común en entornos donde se necesita admitir una amplia gama de dispositivos cliente, incluidos sistemas Linux. EAP-FAST fue desarrollado por Cisco como una alternativa a PEAP que evita la dependencia de la validación de certificados, utilizando en su lugar Credenciales de Acceso Protegido.

Un servicio Cloud RADIUS bien diseñado admite todos estos métodos y le permite configurar políticas por SSID; de modo que su SSID corporativo utilice EAP-TLS con validación de certificados, el SSID de su personal utilice PEAP con Active Directory y su red de invitados utilice un Captive Portal o un flujo de inicio de sesión social completamente independiente de la pila de RADIUS.

Hablando de eso, a menudo se confunden RADIUS y el WiFi para invitados, pero sirven para propósitos diferentes. RADIUS es su capa de autenticación y autorización para usuarios y dispositivos conocidos. El WiFi para invitados suele utilizar un flujo de Captive Portal, que es un mecanismo completamente diferente. La plataforma de Purple, por ejemplo, gestiona la autenticación de invitados a través de una capa de identidad independiente, capturando datos de primera mano y permitiendo la automatización del marketing, mientras que RADIUS gestiona el control de acceso a la red corporativa y del personal. Estos son sistemas complementarios, no competidores.

Ahora, hablemos de lo que significa realmente "alojado en la nube" en la práctica. Un servicio Cloud RADIUS diseñado correctamente se ejecuta en múltiples zonas de disponibilidad, con conmutación por error automática. Las solicitudes de autenticación se equilibran de forma equilibrada entre los nodos, y el servicio mantiene tiempos de respuesta inferiores a 100 milisegundos incluso bajo carga máxima. Para un estadio que gestiona 40,000 conexiones simultáneas durante un evento, ese perfil de latencia y rendimiento es crítico. Un solo servidor local simplemente no puede igualar esa elasticidad.

Desde la perspectiva del cumplimiento, los proveedores de Cloud RADIUS que operan en el Reino Unido y la UE deben cumplir con el GDPR en la forma en que manejan los registros de autenticación y los datos de los usuarios. Para los entornos de comercio minorista y hotelería que también procesan datos de tarjetas de pago, los requisitos de PCI DSS sobre segmentación de red y control de acceso son directamente relevantes: RADIUS es parte de su entorno de control, y su QSA querrá ver pruebas de una configuración y un registro de auditoría adecuados.

También vale la pena abordar WPA3. La transición de WPA2 a WPA3 introduce la Autenticación Simultánea de Iguales (SAE) para redes personales, y WPA3-Enterprise para entornos corporativos. WPA3-Enterprise exige un modo de seguridad de 192 bits para la clasificación más alta, lo que requiere métodos EAP y suites de cifrado específicos. Un servicio Cloud RADIUS debe admitir estas configuraciones para estar preparado para el futuro.

Recomendaciones de implementación y errores comunes.

Muy bien, seamos prácticos. Si está evaluando Cloud RADIUS para su implementación este trimestre, esto es en lo que me enfocaría.

Primero, la integración con su proveedor de identidad. Su servicio Cloud RADIUS debe sincronizarse con el lugar donde realmente residen sus usuarios, ya sea Microsoft Entra ID (anteriormente Azure AD), Google Workspace, Okta o un Active Directory local a través de un proxy LDAP. La calidad de esta integración determina su costo operativo. El aprovisionamiento nativo de SAML o SCIM es muy preferible a las importaciones manuales de archivos CSV.

Segundo, la gestión de certificados. Si está implementando EAP-TLS, necesita una respuesta clara sobre cómo se emiten, renuevan y revocan los certificados de cliente. Los mejores servicios de Cloud RADIUS incluyen una PKI integrada o se integran limpiamente con su autoridad de certificación existente. El vencimiento de los certificados es una de las causas más comunes de fallas de autenticación en el WiFi empresarial; esto es completamente evitable con una automatización adecuada.

Tercero, la compatibilidad de los dispositivos de red. Sus puntos de acceso deben admitir la autenticación RADIUS (prácticamente todos los AP de nivel empresarial lo hacen), pero debe verificar los métodos EAP específicos y los atributos de RADIUS que admite el servicio elegido frente a la implementación del proveedor de su AP. Cisco, Aruba, Juniper Mist y Ruckus tienen sus propios matices en la forma en que manejan los atributos de RADIUS y los mensajes de CoA (Change of Authorization).

Cuarto, la configuración de redundancia. Configure siempre una dirección IP de servidor RADIUS primaria y secundaria. El tiempo de espera de conmutación por error en sus dispositivos NAS es importante: si se configura demasiado alto, los usuarios experimentarán un retraso de autenticación de 30 segundos cuando el primario no esté disponible. Un tiempo de espera de 3 a 5 segundos con conmutación por error inmediata es la configuración adecuada para la mayoría de los entornos.

Quinto, y este es el que la gente suele pasar por alto, la contabilidad. Los registros de contabilidad de RADIUS son su pista de auditoría. Le indican quién se conectó, desde qué dispositivo, a qué hora y durante cuánto tiempo. Para fines de cumplimiento, particularmente en entornos de atención médica y del sector público, estos registros deben retenerse y ser accesibles. Asegúrese de que su proveedor de Cloud RADIUS le brinde acceso a los datos de contabilidad, no solo a los registros de autenticación.

Errores comunes: complejidad del secreto compartido. Su secreto compartido de RADIUS (la clave precompartida entre su NAS y el servidor RADIUS) debe ser largo y aleatorio. Los secretos compartidos cortos o predecibles son un vector de ataque real. Utilice al menos 32 caracteres, generados aleatoriamente, y rótelos según un calendario.

También tenga cuidado con la lista blanca de IP. Muchos servicios de Cloud RADIUS requieren que incluya en una lista blanca las IP de origen de sus dispositivos NAS. En un entorno de nube dinámico donde su plataforma de gestión de AP podría utilizar NAT, esto puede causar fallas de autenticación inesperadas. Confirme el comportamiento de NAT de su red antes de la implementación.

Preguntas y respuestas rápidas.

Permítame repasar algunas preguntas que me hacen con regularidad.

¿Puede Cloud RADIUS admitir entornos multi-inquilino? Sí, la mayoría de los servicios de Cloud RADIUS para empresas admiten el aislamiento de inquilinos, por lo que un proveedor de servicios administrados puede ejecutar políticas de RADIUS independientes para múltiples clientes desde una sola plataforma.

¿Cuál es la latencia típica para una autenticación de Cloud RADIUS? Menos de 100 milisegundos para un servicio bien diseñado. El saludo 802.1X en sí añade algo de sobrecarga, pero para la mayoría de los métodos EAP, el tiempo total de autenticación debería ser inferior a 500 milisegundos de extremo a extremo.

¿Funciona Cloud RADIUS con OpenRoaming? Sí. OpenRoaming (el marco de roaming de la Wireless Broadband Alliance) utiliza la federación RADIUS en su núcleo. Un servicio Cloud RADIUS que admita Hotspot 2.0 y OpenRoaming permite a sus usuarios autenticarse automáticamente en las redes participantes a nivel mundial. Purple admite OpenRoaming bajo su licencia Connect, actuando como un proveedor de identidad en la federación.

¿Es adecuado Cloud RADIUS para entornos de alta seguridad? Para la mayoría de los entornos empresariales, sí. Para entornos con datos clasificados o clasificaciones de seguridad gubernamentales específicas, es posible que deba evaluar si un servicio en la nube administrado cumple con sus requisitos de acreditación específicos.

Resumen y próximos pasos.

Para resumir: Cloud RADIUS es un enfoque maduro y listo para producción para el control de acceso a la red que elimina la carga operativa de la infraestructura RADIUS local sin comprometer la seguridad ni la capacidad. Para organizaciones con múltiples sitios, el caso de ROI es sencillo: elimina el gasto de capital en hardware, reduce los costos de TI, obtiene redundancia integrada y obtiene un servicio que se escala con su patrimonio.

Las decisiones clave son: qué método EAP es el adecuado para su flota de dispositivos, cómo se integra con su proveedor de identidad existente y si el servicio elegido le brinda las capacidades de cumplimiento y auditoría que su organización requiere.

Si dirige un grupo hotelero, una cadena minorista o gestiona redes del sector público, le recomendaría comenzar con una prueba de concepto en un solo sitio: configure correctamente su RADIUS, valide la integración con su proveedor de identidad y mida la latencia de autenticación antes de implementarlo en todo su patrimonio.

Para obtener más información sobre análisis de WiFi, gestión de redes de invitados y cómo la plataforma de Purple se integra con la autenticación basada en RADIUS, visite purple.ai. Gracias por escuchar.

Puntos clave

✓Cloud RADIUS elimina los gastos de capital y los costos de mantenimiento de los servidores de autenticación locales.
✓Proporciona escalabilidad elástica y redundancia global, esenciales para entornos distribuidos de comercio minorista, hotelería y empresas.
✓Migrar a EAP-TLS a través de Cloud RADIUS es el estándar de oro para proteger las redes contra la recopilación de credenciales.
✓La integración fluida con IdP modernos (Entra ID, Google Workspace) a través de SCIM automatiza la incorporación y desincorporación de usuarios.
✓La configuración adecuada del NAS, incluidos los tiempos de espera de conmutación por error de 3 a 5 segundos y secretos compartidos complejos, es fundamental para la confiabilidad.
✓Los registros de contabilidad generados por Cloud RADIUS son obligatorios para demostrar el cumplimiento de PCI DSS y GDPR.
✓RADIUS gestiona el acceso de usuarios conocidos, mientras que las plataformas de WiFi para invitados se encargan de la interacción con los visitantes y la captura de datos.

执行摘要

对于现代企业网络，传统本地部署的 RADIUS (Remote Authentication Dial-In User Service) 架构构成了一个重大的运维瓶颈。管理物理服务器、打操作系统补丁、处理证书颁发机构以及设计多站点冗余会消耗宝贵的 IT 资源。Cloud RADIUS（或称 RADIUS 即服务）通过将 IEEE 802.1X 认证层迁移到托管的、高可用的云基础设施来解决这一问题。本指南为评估部署策略的 IT 经理、网络架构师和 CTO 提供了 Cloud RADIUS 的全面技术概述。通过从资本支出高、手动维护的系统转变为弹性的、全球分布式的模型，零售、酒店和交通行业的组织可以执行强大的访问策略，实现合规性（如 PCI DSS 和 GDPR），并与 Microsoft Entra ID 和 Google Workspace 等现代身份提供商无缝集成。

技术深度解析

RADIUS 架构的演变

RADIUS 最初在 RFC 2865 中定义，它基于客户端-服务器模型运行，其中网络接入服务器 (NAS) —— 例如 WiFi 接入点或 VPN 集中器 —— 将认证请求转发到中央服务器。在过去，这意味着在专用硬件上部署 FreeRADIUS 或 Microsoft 网络策略服务器 (NPS)。虽然这对于单站点部署是可行的，但在分布式环境中扩展此架构会带来显着的延迟和冗余挑战。

Cloud RADIUS 抽象了底层基础设施。认证请求被路由到全球分布的云端点，即使在峰值负载下也能确保低于 100 毫秒的响应时间。这种弹性对于体育场馆或会议中心等高密度环境至关重要。

EAP 方法与安全态势

可扩展身份验证协议 (EAP) 方法的选择从根本上决定了您的安全态势：

PEAP (Protected EAP): 在 TLS 会话中建立 MSCHAPv2 隧道。虽然 PEAP 得到广泛支持且易于与 Active Directory 集成，但如果客户端设备未严格配置为验证服务器证书，则 PEAP 容易受到通过流氓接入点进行凭据窃取的影响。
EAP-TLS： 企业级黄金标准。它要求进行双向证书身份验证——服务器和客户端都必须出示有效的证书。这完全消除了基于密码的攻击，但需要强大的公钥基础设施（PKI）和移动设备管理（MDM）集成来进行证书部署。
EAP-TTLS 和 EAP-FAST： 提供替代方案，适用于需要广泛的客户端兼容性（包括遗留系统或 Linux 系统）或者需要使用受保护的访问凭据（PAC）来绕过证书验证依赖项的场景。

WPA3 和 OpenRoaming 集成

现代部署必须考虑 WPA3-Enterprise，它强制要求 192 位安全模式以达到最高安全级别，这需要特定的密码套件。此外，Cloud RADIUS 还有助于参与 OpenRoaming 等联盟框架。例如，Purple 在其 Connect 许可下作为 OpenRoaming 的免费身份提供商，允许在全球参与的各网络之间进行无缝、安全的身份验证。

实施指南

部署 Cloud RADIUS 需要采用系统化的方法，以确保过渡期间的零停机时间。

第 1 步：身份提供商（IdP）集成

您的 Cloud RADIUS 实例必须与您的权威用户目录同步。与 Microsoft Entra ID、Google Workspace 或 Okta 进行原生 SAML 或 SCIM 配置，比手动 LDAP 代理或 CSV 导入更值得推荐。这可以确保当员工在 HR 系统中办理离职时，其网络访问权限会立即被撤销。

第 2 步：证书管理策略

如果部署 EAP-TLS，请定义您的证书生命周期。选择一个包含集成 PKI 或与您现有的证书颁发机构（CA）无缝集成的 Cloud RADIUS 提供商。通过您的 MDM 平台（例如 Intune 或 Jamf）自动进行证书的颁发和撤销，以防止因证书过期而导致身份验证失败。

第 3 步：网络设备配置

配置您的 NAS 设备（接入点、交换机）以指向主和备 Cloud RADIUS IP 地址。确保共享密钥在密码学上足够复杂（最少 32 个随机字符）。调整故障转移超时设置；3 到 5 秒的超时是最理想的，可以防止在主节点无法访问时出现长时间的身份验证延迟。

第 4 步：策略定义

建立基于每个 SSID 的策略。例如，企业网络强制执行 EAP-TLS，遗留物联网设备执行 PEAP，并隔离访客访问。请注意，RADIUS 处理已知用户；对于访客，请部署专用的 Guest WiFi 解决方案和 Captive Portal 以收集一手数据，并与 WiFi Analytics 平台进行集成。有关访客互动的更多信息，请参考如何提高访客满意度：终极指南。

最佳实践

实施严格的服务器证书验证： 对于 PEAP 部署，推送组策略或 MDM 配置文件，强制客户端验证 RADIUS 服务器证书，并将信任限制在特定的根 CA。
细分计费与认证流量： 确保对 RADIUS 计费数据进行主动监控和保留。此审计跟踪对于合规性报告（例如 PCI DSS、HIPAA）至关重要。
监控认证延迟： 高延迟通常表明路由欠佳或 IdP 同步存在问题。使用监控工具追踪从 Access-Request 到 Access-Accept 数据包所需的时间。
优化信号与信道规划： 可靠的认证依赖于稳定的物理层。审阅诸如 Understanding RSSI and Signal Strength for Optimal Channel Planning 的指南，以确保您的射频环境支持无缝的 802.1X 漫游。

故障排除与风险缓解

即使使用托管服务，配置错误也可能导致访问失败。常见的失败模式包括：

证书过期： EAP-TLS 失败的首要原因。缓解措施： 在 CA 或服务器证书过期前 30 天实施自动告警。
共享密钥不匹配： 通常发生在添加新接入点时。缓解措施： 在您的网络管理系统中标准化配置模板。
NAT 和 IP 白名单问题： Cloud RADIUS 提供商通常需要 NAS IP 白名单。如果您的分支机构使用动态 IP 或复杂的 NAT 配置，认证请求可能会被丢弃。缓解措施： 如有必要，使用静态出口 IP 或部署本地 RADIUS 代理。
IdP 同步失败： 如果云目录未能与本地 AD 同步，新用户将无法进行认证。缓解措施： 主动监控 SCIM/LDAP 连接器状态。

ROI 与业务影响

过渡到 Cloud RADIUS 可提供可衡量的业务价值：

减少基础设施资本支出 (Capex)： 无需在每个主要站点购买、上架和为物理 RADIUS 服务器供电。
降低运营开销： IT 团队无需再花费数小时来修补操作系统漏洞或手动管理服务器故障转移。供应商管理的更新可确保持续合规。
增强安全态势： 通过云 PKI 过渡到 EAP-TLS 可降低凭据被盗的风险，直接降低潜在的数据泄露成本。
敏捷性与可扩展性： 在开设新的零售分支机构或酒店时，网络认证可以在几分钟内完成配置，而不是几周。有关实用的推广策略，请参阅 Setting Up WiFi for Business: A 2026 Playbook 。

通过集中式访问控制，企业不仅能够保障其边界安全，还能释放资深工程人才的精力，使其专注于战略性主导项目，而无需维护过时的传统基础设施。

Definiciones clave

Cloud RADIUS

Un servicio administrado que aloja el protocolo Remote Authentication Dial-In User Service en un entorno de nube de alta disponibilidad, eliminando la necesidad de servidores de autenticación locales.

Evaluado por equipos de TI que buscan reducir el gasto de capital en hardware y los costos operativos, al tiempo que mantienen un acceso seguro a la red 802.1X.

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

Un método de autenticación altamente seguro que requiere que tanto el cliente como el servidor presenten certificados digitales para demostrar su identidad.

El estándar recomendado para redes empresariales para prevenir ataques basados en contraseñas, que requiere PKI y MDM para su implementación.

NAS (Network Access Server)

El dispositivo, como un punto de acceso WiFi, switch o concentrador VPN, que actúa como cliente RADIUS, reenviando las credenciales del usuario al servidor RADIUS.

Los ingenieros de red deben configurar el NAS con las direcciones IP del servidor RADIUS y los secretos compartidos correctos para habilitar la autenticación 802.1X.

Shared Secret

Una cadena de texto criptográfica conocida solo por el NAS y el servidor RADIUS, utilizada para cifrar paquetes RADIUS y verificar la autenticidad del remitente.

Un secreto compartido débil es una vulnerabilidad de seguridad importante; las implementaciones empresariales deben usar cadenas largas generadas aleatoriamente.

SCIM (System for Cross-domain Identity Management)

Un estándar abierto que automatiza el intercambio de información de identidad de usuario entre sistemas de TI o aplicaciones en la nube.

Se utiliza para aprovisionar y desaprovisionar automáticamente a los usuarios en el directorio de Cloud RADIUS cuando se realizan cambios en el sistema de identidad principal de TI o recursos humanos.

OpenRoaming

Un marco de federación desarrollado por la Wireless Broadband Alliance que permite a los usuarios conectarse de forma automática y segura a las redes WiFi participantes a nivel mundial.

Los proveedores de Cloud RADIUS que admiten OpenRoaming (como Purple) permiten a los establecimientos ofrecer conectividad segura y fluida a los visitantes sin Captive Portals.

Accounting Logs

Registros generados por el servidor RADIUS que detallan los eventos de conexión del usuario, incluida la hora de inicio, la hora de finalización, los datos transferidos y la dirección IP asignada.

Críticos para auditorías de seguridad, resolución de problemas y demostración de cumplimiento con marcos como PCI DSS y GDPR.

Change of Authorization (CoA)

Una función de RADIUS que permite al servidor modificar dinámicamente la sesión activa de un usuario, como cambiar su VLAN o desconectarlo, sin requerir una reconexión.

Utilizado por los administradores de red para poner en cuarentena instantáneamente un dispositivo comprometido o aplicar nuevas restricciones de políticas a mitad de la sesión.

Ejemplos resueltos

Un hotel de 200 habitaciones utiliza actualmente Microsoft NPS local para la autenticación WiFi del personal a través de PEAP. Están experimentando tiempos de espera de autenticación agotados durante las horas pico de registro y desean migrar a Cloud RADIUS con EAP-TLS para obtener una mejor seguridad y confiabilidad. ¿Cómo debería el Director de TI diseñar esta migración?

Implementar un inquilino de Cloud RADIUS e integrarlo con el Microsoft Entra ID del hotel a través de SCIM para la gestión automatizada del ciclo de vida del usuario. 2. Configurar la PKI integrada de Cloud RADIUS para emitir certificados de cliente. 3. Utilizar el MDM existente (por ejemplo, Intune) para enviar la CA raíz, los certificados de cliente y un nuevo perfil de WiFi configurado para EAP-TLS a todos los dispositivos del personal. 4. Configurar los puntos de acceso del hotel para que apunten a las direcciones IP primaria y secundaria de Cloud RADIUS, utilizando un nuevo secreto compartido complejo de 32 caracteres. 5. Ejecutar tanto el NPS antiguo como el nuevo Cloud RADIUS en paralelo en diferentes SSID durante un período de transición de dos semanas antes de desmantelar los servidores locales.

Comentario del examinador: Este enfoque minimiza el riesgo al ejecutar SSID paralelos durante la transición. La migración a EAP-TLS elimina los riesgos de recopilación de credenciales asociados con PEAP, y el aprovechamiento de MDM para la implementación de certificados garantiza cero fricciones para los usuarios finales. La integración de SCIM garantiza que cuando el personal se va, su acceso se revoca instantáneamente.

Una cadena minorista nacional con 500 ubicaciones necesita garantizar el cumplimiento de PCI DSS para sus terminales de punto de venta (POS), que se conectan a través de WiFi. Se están trasladando a Cloud RADIUS. ¿Qué configuraciones específicas se requieren para cumplir con la normativa?

Implementar una segmentación de red estricta: las terminales POS deben autenticarse en un SSID dedicado y oculto asignado a una VLAN aislada. 2. Forzar la autenticación EAP-TLS para todos los dispositivos POS para garantizar la autenticación mutua y evitar que dispositivos no autorizados se unan a la red POS. 3. Configurar el servicio Cloud RADIUS para retener todos los registros de contabilidad (Access-Accept, Access-Reject, duración de la conexión) durante un mínimo de un año, según lo exige PCI DSS. 4. Asegurar que los secretos compartidos de RADIUS entre los AP de las sucursales y el servicio Cloud RADIUS se roten cada 90 días utilizando un script automatizado.

Comentario del examinador: Esta solución aborda directamente los requisitos de PCI DSS para la segmentación lógica, el control de acceso sólido y la auditabilidad. Confiar en el filtrado de direcciones MAC es insuficiente para el cumplimiento; EAP-TLS proporciona la prueba criptográfica necesaria de la identidad del dispositivo. Retener los registros de contabilidad en la nube simplifica el proceso de auditoría para el QSA.

Preguntas de práctica

Q1. Su organización está migrando de un Active Directory local a Google Workspace. Actualmente utiliza PEAP-MSCHAPv2 para la autenticación WiFi. ¿Por qué es esto un problema y cuál es la solución recomendada?

Sugerencia: Considere cómo PEAP valida las credenciales frente al protocolo de directorio.

Ver respuesta modelo

PEAP-MSCHAPv2 depende del hash NT de la contraseña de un usuario, que Google Workspace no almacena ni expone de forma nativa. La solución recomendada es migrar a EAP-TLS utilizando un proveedor de Cloud RADIUS que cuente con una PKI integrada. El servicio Cloud RADIUS puede sincronizar las identidades de los usuarios desde Google Workspace a través de SAML/SCIM y autenticar los dispositivos utilizando certificados de cliente en lugar de contraseñas.

Q2. Una sucursal informa que los usuarios experimentan retrasos de 30 segundos al conectarse a la red WiFi, seguidos de una conexión exitosa. La IP principal de Cloud RADIUS en esa región se encuentra actualmente en mantenimiento. ¿Qué error de configuración está causando este retraso?

Sugerencia: Observe la comunicación entre el NAS y los servidores RADIUS.

Ver respuesta modelo

El NAS (punto de acceso o switch) tiene configurado un tiempo de espera del servidor RADIUS demasiado alto (por ejemplo, 30 segundos). Está esperando a que responda el servidor primario antes de pasar al servidor secundario. El tiempo de espera debe reducirse a 3-5 segundos para garantizar una conmutación por error rápida sin afectar la experiencia del usuario.

Q3. Está implementando Cloud RADIUS para un hospital. El equipo de seguridad exige que solo los dispositivos propiedad de la empresa puedan conectarse a la red interna, incluso si un empleado conoce un nombre de usuario y una contraseña válidos. ¿Cómo se hace cumplir esto?

Sugerencia: ¿Qué método EAP verifica la identidad del dispositivo y no solo el conocimiento del usuario?

Ver respuesta modelo

Implemente EAP-TLS. Configure la solución MDM del hospital para enviar un certificado de cliente único solo a los dispositivos registrados propiedad de la empresa. Configure la política de Cloud RADIUS para rechazar cualquier solicitud de autenticación que no presente un certificado válido firmado por la PKI interna de confianza, bloqueando de manera efectiva los dispositivos BYOD o no autorizados, independientemente del conocimiento de la contraseña.

Continúe leyendo esta serie

Los beneficios de seguridad de RADIUS as a Service para fuerzas de trabajo híbridas

Esta guía de referencia técnica explica cómo RADIUS as a Service protege el acceso a la red para fuerzas de trabajo híbridas en instalaciones distribuidas. Cubre la arquitectura, los beneficios de seguridad y los pasos de implementación para reemplazar la infraestructura RADIUS local por un servicio de autenticación gestionado en la nube. Para gerentes de TI y arquitectos de red en hoteles, cadenas de retail, estadios y organizaciones del sector público, esta guía proporciona la evidencia necesaria para evaluar y actuar en una migración a RADIUS en la nube este trimestre.

Integrating RADIUS as a Service with Cloud Directories (Azure AD & Google Workspace)

This technical reference guide details how to integrate RADIUS as a Service with cloud directories - Microsoft Entra ID and Google Workspace - for enterprise WiFi authentication. It covers the architectural shift from on-premise NPS to cloud-native RADIUS, the deployment of certificate-based EAP-TLS authentication, and the operational best practices for securing wireless access across hospitality, retail, and public-sector environments. For IT managers and network architects already invested in cloud identity, this guide bridges the gap between directory management and physical network security.

Cómo implementar la autenticación 802.1X con Cloud RADIUS

Esta guía de referencia técnica proporciona un marco integral para implementar la autenticación 802.1X con Cloud RADIUS en entornos empresariales distribuidos. Detalla la arquitectura, la selección del método EAP, la secuencia de implementación y las estrategias de mitigación de riesgos necesarias para proteger el acceso a la red, eliminando al mismo tiempo la carga operativa de la infraestructura local.