Saltar al contenido principal

¿Qué es Cloud RADIUS? Una guía completa de RADIUS-as-a-Service

Esta guía completa explora Cloud RADIUS (RADIUS-as-a-Service), detallando su arquitectura, métodos EAP y estrategias de implementación. Proporciona a los líderes de TI información práctica sobre la migración de servidores locales a un modelo de autenticación en la nube escalable, seguro y compatible.

📖 5 min de lectura📝 1,077 palabras🔧 2 ejemplos resueltos3 preguntas de práctica📚 8 definiciones clave

Escucha esta guía

Ver transcripción del podcast
¿Qué es Cloud RADIUS? Una guía completa de RADIUS-as-a-Service. Bienvenido al podcast de Purple WiFi Intelligence. Soy su anfitrión, y hoy analizaremos a fondo Cloud RADIUS: qué es, cómo funciona internamente y, lo más importante, cómo evaluar si es la opción adecuada para su organización en este trimestre. Ya sea que dirija un grupo hotelero, una red de retail, un estadio o una red del sector público, este episodio es para usted. Comencemos a preparar el escenario. Introducción y contexto. Si alguna vez ha tenido que explicar a un consejo de administración por qué se cayó el servidor de autenticación de su red a las 2 a. m. - y por qué tardó tres horas en restablecerse - ya entiende el problema central que resuelve Cloud RADIUS. La infraestructura tradicional de RADIUS en sitio es potente, pero conlleva una carga operativa considerable. Hardware que adquirir, ciclos de parches que gestionar, redundancia que diseñar de forma manual y un único punto de fallo ubicado en su sala de servidores. Cloud RADIUS, o RADIUS-as-a-Service, traslada esa capa de autenticación a un entorno en la nube administrado y de alta disponibilidad. El protocolo en sí - Remote Authentication Dial-In User Service - no ha cambiado. Sigue siendo la columna vertebral del control de acceso a redes IEEE 802.1X, el mecanismo que utilizan sus puntos de acceso para validar quién entra a su red. Pero la infraestructura que lo ejecuta ahora es problema de otra persona. Y en la TI empresarial, eso representa un cambio muy importante. Así que entremos en los detalles técnicos. Análisis técnico profundo. RADIUS se definió originalmente en la norma RFC 2865, publicada en el año 2000, y ha mantenido una durabilidad notable. El protocolo funciona bajo un modelo cliente-servidor. Su dispositivo de acceso a la red - ya sea un punto de acceso WiFi, un concentrador de VPN o un switch cableado - actúa como el cliente RADIUS, también llamado Servidor de Acceso a la Red o NAS. Cuando un usuario intenta conectarse, el NAS reenvía un paquete Access-Request al servidor RADIUS, el cual valida las credenciales frente a un directorio de usuarios - por lo general, Active Directory, LDAP o un proveedor de identidad en la nube - y devuelve un Access-Accept o un Access-Reject. Ese es el intercambio principal. Pero la verdadera complejidad radica en lo que ocurre a su alrededor: métodos EAP, asignación de VLAN, aplicación de políticas, registros de contabilidad (accounting) y gestión de certificados. En una implementación tradicional en sitio, usted ejecuta FreeRADIUS o Microsoft NPS en hardware dedicado, gestionando sus propios certificados, configurando su propio esquema de failover y manteniendo la sincronización de su propia base de datos de usuarios. Para una implementación en un solo sitio con un equipo de TI competente, esto es manejable. Para una red de retail de 50 sitios o un grupo hotelero con propiedades en varios países, se convierte en una carga operativa muy pesada. Cloud RADIUS abstrae todo eso. La lógica de autenticación, la infraestructura de certificados, la redundancia y el motor de políticas se entregan como un servicio administrado. Sus puntos de acceso apuntan a endpoints de RADIUS alojados en la nube — normalmente una dirección IP primaria y secundaria — y el servicio se encarga de todo lo que está detrás de eso. Ahora, hablemos de los métodos de autenticación, porque aquí es donde las decisiones técnicas realmente importan. El método EAP más común en WiFi empresarial es PEAP - Protected EAP - que tuneliza MSCHAPv2 dentro de una sesión TLS. Es ampliamente compatible, funciona con Active Directory de forma nativa y es el valor predeterminado para la mayoría de los dispositivos Windows y Android. Sin embargo, PEAP tiene vulnerabilidades conocidas, particularmente en torno a la validación de certificados. Si sus dispositivos cliente no están configurados para verificar el certificado del servidor, queda expuesto a ataques de recopilación de credenciales a través de puntos de acceso no autorizados. EAP-TLS es el estándar de oro. Utiliza autenticación mutua de certificados — tanto el servidor como el cliente presentan certificados — lo que elimina por completo la superficie de ataque de contraseñas. La desventaja es la implementación de certificados de cliente, que requiere una infraestructura PKI e integración con MDM. Para flotas de dispositivos administrados, esta es absolutamente la opción correcta. Para entornos BYOD, es más complejo. También vale la pena conocer EAP-TTLS y EAP-FAST. TTLS es particularmente común en entornos donde necesita soportar una amplia gama de dispositivos cliente, incluidos sistemas Linux. EAP-FAST fue desarrollado por Cisco como una alternativa a PEAP que evita la dependencia de la validación de certificados, utilizando en su lugar Protected Access Credentials. Un servicio Cloud RADIUS bien diseñado es compatible con todos estos métodos y le permite configurar políticas por SSID - para que su SSID corporativo utilice EAP-TLS con validación de certificados, su SSID de personal utilice PEAP con Active Directory y su red de invitados utilice un flujo de Captive Portal o inicio de sesión de redes sociales completamente independiente de la pila RADIUS. Hablando de lo cual — RADIUS y WiFi para invitados a menudo se confunden, pero sirven para propósitos diferentes. RADIUS es su capa de autenticación y autorización para usuarios y dispositivos conocidos. El WiFi para invitados generalmente utiliza un flujo de Captive Portal, que es un mecanismo completamente diferente. La plataforma de Purple, por ejemplo, maneja la autenticación de invitados a través de una capa de identidad independiente, capturando datos de primera mano y habilitando la automatización de marketing, mientras que RADIUS maneja el control de acceso a la red corporativa y del personal. Estos son sistemas complementarios, no de la competencia. Ahora, hablemos de lo que realmente significa "alojado en la nube" en la práctica. Un servicio Cloud RADIUS correctamente diseñado se ejecuta en múltiples zonas de disponibilidad, con conmutación por error automática. Las solicitudes de autenticación se equilibran en cuanto a carga entre los nodos, y el servicio mantiene tiempos de respuesta inferiores a 100 milisegundos incluso bajo picos de carga. Para un estadio que gestiona 40,000 conexiones concurrentes durante un evento, ese perfil de latencia y rendimiento es fundamental. Un solo servidor local simplemente no puede igualar esa elasticidad. Desde la perspectiva del cumplimiento, los proveedores de Cloud RADIUS que operan en el Reino Unido y la UE deben cumplir con el GDPR en la forma en que manejan los registros de autenticación y los datos de los usuarios. Para los entornos de retail y hotelería que también procesan datos de tarjetas de pago, los requisitos de PCI-DSS sobre segmentación de red y control de acceso son directamente relevantes - RADIUS es parte de su entorno de control, y su QSA querrá ver pruebas de una configuración adecuada y registro de auditoría. También vale la pena abordar WPA3. La transición de WPA2 a WPA3 introduce la Autenticación Simultánea de Iguales - SAE - para redes personales, y WPA3-Enterprise para entornos corporativos. WPA3-Enterprise exige el modo de seguridad de 192 bits para la clasificación más alta, lo que requiere métodos EAP y conjuntos de cifrado específicos. Un servicio Cloud RADIUS necesita admitir estas configuraciones para estar preparado para el futuro. Recomendaciones de implementación y errores comunes. Bien, seamos prácticos. Si está evaluando Cloud RADIUS para su implementación en este trimestre, esto es en lo que yo me enfocaría. Primero, la integración con su proveedor de identidad. Su servicio Cloud RADIUS debe sincronizarse con el lugar donde realmente residen sus usuarios - ya sea Microsoft Entra ID, antes Azure AD, Google Workspace, Okta o un Active Directory local a través de un proxy LDAP. La calidad de esta integración determina sus costos operativos. El aprovisionamiento nativo de SAML o SCIM es muy preferible a las importaciones manuales de CSV. Segundo, la gestión de certificados. Si está implementando EAP-TLS, necesita una respuesta clara sobre cómo se emiten, renuevan y revocan los certificados de cliente. Los mejores servicios de Cloud RADIUS incluyen una PKI integrada o se integran de forma limpia con su autoridad de certificación existente. El vencimiento de los certificados es una de las causas más comunes de fallas de autenticación en las redes WiFi empresariales - algo que se puede evitar por completo con una automatización adecuada. Tercero, la compatibilidad de los dispositivos de red. Sus puntos de acceso deben admitir la autenticación RADIUS - prácticamente todos los AP de nivel empresarial lo hacen - pero debe verificar los métodos EAP específicos y los atributos RADIUS que admite el servicio elegido frente a la implementación del proveedor de sus AP. Cisco, Aruba, Juniper Mist y Ruckus tienen sus propios matices en la forma en que manejan los atributos RADIUS y los mensajes CoA - Cambio de Autorización.Cuarto, configuración de redundancia. Configure siempre una IP de servidor RADIUS principal y secundaria. El tiempo de espera de failover en sus dispositivos NAS es importante - si se configura demasiado alto, los usuarios experimentarán un retraso de autenticación de 30 segundos cuando el servidor principal no esté accesible. Un tiempo de espera de 3 a 5 segundos con failover inmediato es la configuración correcta para la mayoría de los entornos. Quinto - y este es el que la gente pasa por alto - la contabilidad. Los registros de contabilidad de RADIUS son su pista de auditoría. Le dicen quién se conectó, desde qué dispositivo, a qué hora y por cuánto tiempo. Para fines de cumplimiento, particularmente en entornos de atención médica y del sector público, estos registros deben retenerse y estar accesibles. Asegúrese de que su proveedor de Cloud RADIUS le brinde acceso a los datos de contabilidad, no solo a los registros de autenticación. Errores comunes: complejidad del secreto compartido. Su secreto compartido de RADIUS - la clave precompartida entre su NAS y el servidor RADIUS - debe ser larga y aleatoria. Los secretos compartidos cortos o fáciles de adivinar son un vector de ataque real. Utilice al menos 32 caracteres, generados aleatoriamente, y rótelos de forma programada. También tenga cuidado con la lista blanca de IPs. Muchos servicios de Cloud RADIUS requieren que configure en la lista blanca las IPs de origen de sus dispositivos NAS. En un entorno de nube dinámico donde su plataforma de gestión de AP podría utilizar NAT, esto puede causar fallas de autenticación inesperadas. Confirme el comportamiento de NAT de su red antes de la implementación. Preguntas y respuestas rápidas. Permítame repasar algunas preguntas que me hacen con regularidad. ¿Puede Cloud RADIUS admitir entornos multi-tenant? Sí - la mayoría de los servicios de Cloud RADIUS para empresas admiten el aislamiento de inquilinos, por lo que un proveedor de servicios gestionados puede ejecutar políticas de RADIUS independientes para múltiples clientes desde una sola plataforma. ¿Cuál es la latencia típica para una autenticación de Cloud RADIUS? Menos de 100 milisegundos para un servicio bien diseñado. El saludo 802.1X en sí mismo añade algo de sobrecarga, pero para la mayoría de los métodos EAP, el tiempo total de autenticación debe ser inferior a 500 milisegundos de extremo a extremo. ¿Funciona Cloud RADIUS con OpenRoaming? Sí. OpenRoaming - el marco de roaming de la Wireless Broadband Alliance - utiliza la federación RADIUS en su núcleo. Un servicio de Cloud RADIUS que admite Hotspot 2.0 y OpenRoaming permite a sus usuarios autenticarse automáticamente a través de las redes participantes a nivel global. Purple admite OpenRoaming bajo su licencia Connect, actuando como un proveedor de identidad en la federación. ¿Es Cloud RADIUS adecuado para entornos de alta seguridad? Para la mayoría de los entornos empresariales, sí. Para entornos con datos clasificados o clasificaciones de seguridad gubernamentales específicas, es posible que deba evaluar si un servicio en la nube gestionado cumple con sus requisitos específicos de acreditación. Resumen y próximos pasos. En resumen: Cloud RADIUS es un enfoque maduro y listo para producción para el control de acceso a la red que elimina la carga operativa de la infraestructura RADIUS local sin comprometer la seguridad o la capacidad. Para las organizaciones con múltiples sedes, el caso de ROI es sencillo - se elimina el capex de hardware, se reduce la carga de TI, se obtiene redundancia integrada y se consigue un servicio que se escala con su propiedad. Las decisiones clave son: qué método EAP es el adecuado para su flota de dispositivos, cómo se integra con su proveedor de identidad existente y si el servicio elegido le brinda las capacidades de cumplimiento y auditoría que su organización requiere. Si dirige un grupo hotelero, una cadena de tiendas de retail o administra redes del sector público, le recomendaría comenzar con una prueba de concepto en un solo sitio - configure correctamente su RADIUS, valide la integración con su proveedor de identidad y mida la latencia de autenticación antes de implementarlo en toda su propiedad. Para obtener más información sobre analítica de WiFi, gestión de redes de invitados y cómo la plataforma de Purple se integra con la autenticación basada en RADIUS, visite purple.ai. Gracias por escuchar.

header_image.png

Resumen Ejecutivo

Para las redes empresariales modernas, la arquitectura tradicional de RADIUS (Remote Authentication Dial-In User Service) local constituye un cuello de botella operativo importante. Administrar servidores físicos, aplicar parches a los sistemas operativos, gestionar autoridades de certificación y diseñar la redundancia multisitio consume valiosos recursos de TI. El Cloud RADIUS (o RADIUS-as-a-Service) resuelve este problema al migrar la capa de autenticación IEEE 802.1X a una infraestructura en la nube administrada y de alta disponibilidad. Esta guía proporciona una descripción técnica completa de Cloud RADIUS para gerentes de TI, arquitectos de red y Directores de Tecnología (CTO) que evalúan estrategias de implementación. Al cambiar de sistemas costosos basados en inversión de capital (capex) y mantenidos manualmente a un modelo elástico y distribuido globalmente, las organizaciones en los sectores de retail , hotelería y transporte pueden aplicar políticas de acceso robustas, cumplir con normativas (como PCI-DSS y GDPR) e integrarse sin problemas con proveedores de identidad modernos como Microsoft Entra ID y Google Workspace.

Análisis Técnico Detallado

La Evolución de la Arquitectura RADIUS

RADIUS, definido originalmente en el RFC 2865, funciona en un modelo cliente-servidor en el que un Servidor de Acceso a la Red (NAS) - como un punto de acceso WiFi o un concentrador VPN - reenvía las solicitudes de autenticación a un servidor central. Históricamente, esto significaba implementar FreeRADIUS o el Network Policy Server (NPS) de Microsoft en hardware dedicado. Si bien esto es viable para implementaciones en un solo sitio, escalar esta arquitectura a través de entornos distribuidos introduce desafíos significativos de latencia y redundancia.

Cloud RADIUS abstrae la infraestructura subyacente. Las solicitudes de autenticación se enrutan a puntos finales en la nube distribuidos globalmente, lo que garantiza tiempos de respuesta inferiores a 100 milisegundos incluso bajo cargas pico. Esta elasticidad es fundamental para entornos de alta densidad como estadios o centros de conferencias.

architecture_overview.png

Métodos EAP y Postura de Seguridad

La elección del método de Protocolo de Autenticación Extensible (EAP) determina fundamentalmente su postura de seguridad:

  • PEAP (Protected EAP): Establece un túnel MSCHAPv2 dentro de una sesión TLS. Aunque PEAP es ampliamente compatible y fácil de integrar con Active Directory, es vulnerable al robo de credenciales a través de puntos de acceso no autorizados si los dispositivos cliente no están configurados estrictamente para validar el certificado del servidor.
  • EAP-TLS: El estándar de oro empresarial. Requiere autenticación mutua de certificados - tanto el servidor como el cliente deben presentar certificados válidos. Esto elimina por completo los ataques basados en contraseñas, pero exige una infraestructura de clave pública (PKI) robusta y una integración de gestión de dispositivos móviles (MDM) para la distribución de certificados.
  • EAP-TTLS y EAP-FAST: Ofrecen alternativas adecuadas para escenarios que requieren una amplia compatibilidad con el cliente (incluidos sistemas heredados o Linux), o donde se necesitan credenciales de acceso protegido (PAC) para omitir las dependencias de validación de certificados.

Integración con WPA3 y OpenRoaming

Las implementaciones modernas deben considerar WPA3-Enterprise, que exige un modo de seguridad de 192 bits para el nivel de seguridad más alto, lo que requiere suites de cifrado específicas. Además, Cloud RADIUS facilita la participación en marcos de federación como OpenRoaming. Por ejemplo, Purple actúa como un proveedor de identidad gratuito para OpenRoaming bajo su licencia Connect, permitiendo una autenticación segura y sin fricciones en las redes participantes de todo el mundo.

Guía de implementación

La implementación de Cloud RADIUS requiere un enfoque sistemático para garantizar un tiempo de inactividad cero durante la transición.

Paso 1: Integración del proveedor de identidad (IdP)

Su instancia de Cloud RADIUS debe sincronizarse con su directorio de usuarios de confianza. Es preferible el aprovisionamiento nativo de SAML o SCIM con Microsoft Entra ID, Google Workspace u Okta en lugar de proxies LDAP manuales o importaciones CSV. Esto garantiza que cuando un empleado sea dado de baja en el sistema de recursos humanos, su acceso a la red se revoque de inmediato.

Paso 2: Estrategia de gestión de certificados

Si va a implementar EAP-TLS, defina el ciclo de vida de sus certificados. Elija un proveedor de Cloud RADIUS que incluya una PKI integrada o que se integre a la perfección con su autoridad de certificación (CA) existente. Automatice la emisión y revocación de certificados a través de su plataforma de MDM (como Intune o Jamf) para evitar fallas de autenticación causadas por certificados caducados.

Paso 3: Configuración de dispositivos de red

Configure sus dispositivos NAS (puntos de acceso, switches) para que apunten a las direcciones IP primaria y secundaria de Cloud RADIUS. Asegúrese de que los secretos compartidos sean criptográficamente complejos (un mínimo de 32 caracteres aleatorios). Ajuste la configuración del tiempo de espera de conmutación por error; un tiempo de espera de 3 a 5 segundos es óptimo, lo que evita retrasos prolongados en la autenticación si el nodo primario no está disponible.

Paso 4: Definición de políticas

Establezca políticas por cada SSID. Por ejemplo, exija EAP-TLS para la red corporativa, PEAP para dispositivos IoT heredados y aísle el acceso de invitados. Tenga en cuenta que RADIUS gestiona usuarios conocidos; para los visitantes, implemente una solución dedicada de Guest WiFi con un Captive Portal para capturar datos de origen, integrada con una plataforma de WiFi Analytics . Para obtener más información sobre la interacción con los visitantes, consulte Cómo mejorar la satisfacción de los huéspedes: La guía definitiva . comparison_chart.png

Mejores prácticas

  • Exigir una validación estricta del certificado del servidor: Para implementaciones PEAP, aplique políticas de grupo o perfiles MDM que obliguen a los clientes a validar el certificado del servidor RADIUS y restrinjan la confianza a una CA raíz específica.
  • Segmentar el tráfico de contabilidad y autenticación: Asegúrese de que los datos de contabilidad de RADIUS se monitoreen y retengan de manera activa. Este registro de auditoría es esencial para los informes de cumplimiento (como PCI-DSS y HIPAA).
  • Monitorear la latencia de autenticación: Una latencia alta suele indicar un enrutamiento subóptimo o problemas de sincronización de IdP. Utilice herramientas de monitoreo para rastrear el tiempo transcurrido desde el paquete Access-Request hasta el de Access-Accept.
  • Optimizar la planificación de señales y canales: Una autenticación confiable depende de una capa física estable. Revise guías como Entendiendo el RSSI y la potencia de la señal para una planificación óptima de canales para asegurarse de que su entorno de RF admita un roaming 802.1X sin interrupciones.

Solución de problemas y mitigación de riesgos

Incluso con un servicio administrado, una mala configuración puede provocar fallas de acceso. Los modos de falla comunes incluyen:

  • Vencimiento de certificados: La causa principal de las fallas de EAP-TLS. Mitigación: Implemente alertas automatizadas 30 días antes de que venzan los certificados de la CA o del servidor.
  • Discrepancia en el secreto compartido: Ocurre normalmente al agregar nuevos puntos de acceso. Mitigación: Estandarice las plantillas de configuración en su sistema de gestión de red.
  • Problemas de NAT y de listas de permitidos de IP: Los proveedores de Cloud RADIUS suelen requerir listas de permitidos para las IP de NAS. Si las ubicaciones de sus sucursales utilizan IP dinámicas o configuraciones de NAT complejas, es posible que se descarten las solicitudes de autenticación. Mitigación: Utilice IP de salida estáticas o implemente un proxy RADIUS local cuando sea necesario.
  • Fallas de sincronización de IdP: Si el directorio en la nube no se sincroniza con el AD local, los nuevos usuarios no podrán autenticarse. Mitigación: Monitoree proactivamente el estado del conector SCIM/LDAP.

ROI e impacto comercial

La transición a Cloud RADIUS ofrece un valor comercial medible:

  1. Reducción del gasto de capital en infraestructura (Capex): No es necesario comprar, montar en rack y alimentar servidores RADIUS físicos en cada ubicación principal.
  2. Menores costos operativos indirectos: Los equipos de TI ya no pasan horas parchando vulnerabilidades del sistema operativo o administrando manualmente la tolerancia a fallas del servidor. Las actualizaciones administradas por el proveedor garantizan un cumplimiento continuo.
  3. Postura de seguridad mejorada: La transición a EAP-TLS a través de una PKI en la nube reduce el riesgo de robo de credenciales, lo que disminuye directamente el costo potencial de una filtración de datos.
  4. Agilidad y escalabilidad: Al abrir una nueva sucursal minorista u hotel, la autenticación de red se puede aprovisionar en minutos en lugar de semanas. Para conocer estrategias prácticas de implementación, consulte Configuración de WiFi para empresas: una guía para 2026 .

Con un control de acceso centralizado, las organizaciones no solo aseguran su perímetro, sino que también liberan el talento de ingeniería senior para que se concentre en proyectos estratégicos y de alto impacto, en lugar de mantener una infraestructura heredada obsoleta.

Definiciones clave

Cloud RADIUS

Un servicio gestionado que aloja el protocolo Remote Authentication Dial-In User Service en un entorno de nube de alta disponibilidad, eliminando la necesidad de servidores de autenticación locales.

Evaluado por equipos de TI que buscan reducir el capex de hardware y los gastos operativos, manteniendo al mismo tiempo un acceso seguro a la red 802.1X.

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

Un método de autenticación altamente seguro que requiere que tanto el cliente como el servidor presenten certificados digitales para demostrar su identidad.

El estándar recomendado para redes empresariales para evitar ataques basados en contraseñas, que requiere PKI y MDM para su implementación.

NAS (Network Access Server)

El dispositivo - como un punto de acceso WiFi, conmutador o concentrador VPN - que actúa como el cliente RADIUS, reenviando las credenciales de usuario al servidor RADIUS.

Los ingenieros de redes deben configurar el NAS con las direcciones IP del servidor RADIUS y los secretos compartidos correctos para permitir la autenticación 802.1X.

Secret Shared (Secreto Compartido)

Una cadena de texto criptográfica conocida únicamente por el NAS y el servidor RADIUS, utilizada para cifrar los paquetes RADIUS y verificar la autenticidad del remitente.

Un secreto compartido débil es una vulnerabilidad de seguridad importante; las implementaciones empresariales deben utilizar cadenas largas generadas aleatoriamente.

SCIM (System for Cross-domain Identity Management)

Un estándar abierto que automatiza el intercambio de información de identidad de los usuarios entre sistemas de TI o aplicaciones en la nube.

Utilizado para aprovisionar y desaprovisionar automáticamente a los usuarios en el directorio de Cloud RADIUS cuando se realizan cambios en el sistema de identidad principal de TI o Recursos Humanos.

OpenRoaming

Un marco de federación desarrollado por la Wireless Broadband Alliance que permite a los usuarios conectarse de forma automática y segura a las redes WiFi participantes a nivel mundial.

Los proveedores de Cloud RADIUS que admiten OpenRoaming (como Purple) permiten a los establecimientos ofrecer conectividad segura y sin interrupciones a los visitantes sin necesidad de usar Captive Portals.

Accounting Logs

Registros generados por el servidor RADIUS que detallan los eventos de conexión del usuario, incluyendo la hora de inicio, la hora de finalización, los datos transferidos y la dirección IP asignada.

Fundamentales para auditorías de seguridad, resolución de problemas y para demostrar el cumplimiento con marcos de trabajo como PCI-DSS y GDPR.

Change of Authorization (CoA)

Una función de RADIUS que permite al servidor modificar dinámicamente la sesión activa de un usuario, como cambiar su VLAN o desconectarlo, sin requerir una reconexión.

Utilizado por los administradores de red para poner en cuarentena de forma instantánea un dispositivo comprometido o aplicar nuevas restricciones de políticas a mitad de la sesión.

Ejemplos resueltos

Un hotel de 200 habitaciones utiliza actualmente Microsoft NPS local para la autenticación de la WiFi del personal mediante PEAP. Están experimentando tiempos de espera agotados de autenticación durante las horas pico de registro y desean migrar a Cloud RADIUS con EAP-TLS para obtener una mejor seguridad y confiabilidad. ¿Cómo debería el Director de TI diseñar esta migración?

  1. Implementar un tenant de Cloud RADIUS e integrarlo con el Microsoft Entra ID del hotel a través de SCIM para la gestión automatizada del ciclo de vida de los usuarios. 2. Configurar la PKI integrada de Cloud RADIUS para emitir certificados de cliente. 3. Utilizar el MDM existente (por ejemplo, Intune) para enviar la CA raíz, los certificados de cliente y un nuevo perfil de WiFi configurado para EAP-TLS a todos los dispositivos del personal. 4. Configurar los puntos de acceso del hotel para que apunten a las direcciones IP primaria y secundaria de Cloud RADIUS, utilizando un secreto compartido nuevo, complejo y de 32 caracteres. 5. Ejecutar tanto el NPS antiguo como el nuevo Cloud RADIUS en paralelo en diferentes SSIDs durante un período de transición de dos semanas antes de retirar los servidores locales.
Comentario del examinador: Este enfoque minimiza el riesgo al ejecutar SSIDs paralelos durante la transición. Pasar a EAP-TLS elimina los riesgos de recopilación de credenciales asociados con PEAP, y aprovechar MDM para la implementación de certificados garantiza cero fricción para los usuarios finales. La integración con SCIM garantiza que cuando el personal se retire, su acceso se revoque de forma instantánea.

Una cadena de tiendas nacional con 500 sucursales necesita garantizar el cumplimiento de PCI-DSS para sus terminales de punto de venta (POS), que se conectan mediante WiFi. Se están trasladando a Cloud RADIUS. ¿Qué configuraciones específicas se requieren para cumplir con el cumplimiento?

  1. Implementar una segmentación de red estricta: las terminales POS deben autenticarse en un SSID dedicado y oculto asignado a una VLAN aislada. 2. Forzar la autenticación EAP-TLS para todos los dispositivos POS para garantizar la autenticación mutua y evitar que dispositivos no autorizados se unan a la red POS. 3. Configurar el servicio Cloud RADIUS para retener todos los registros de contabilidad (Access-Accept, Access-Reject, duración de la conexión) durante un mínimo de un año, según lo exige PCI-DSS. 4. Asegurarse de que los secretos compartidos de RADIUS entre los puntos de acceso de las sucursales y el servicio Cloud RADIUS se roten cada 90 días mediante una secuencia de comandos automatizada.
Comentario del examinador: Esta solución aborda directamente los requisitos de PCI-DSS para la segmentación lógica, el control de acceso estricto y la auditabilidad. Depender del filtrado de direcciones MAC es insuficiente para el cumplimiento; EAP-TLS proporciona la prueba criptográfica necesaria de la identidad del dispositivo. Retener los registros de contabilidad en la nube simplifica el proceso de auditoría para el QSA.

Preguntas de práctica

Q1. Su organización está migrando de un Active Directory local a Google Workspace. Actualmente utiliza PEAP-MSCHAPv2 para la autenticación de WiFi. ¿Por qué representa esto un problema y cuál es la solución recomendada?

Sugerencia: Considere cómo PEAP valida las credenciales frente al protocolo de directorio.

Ver respuesta modelo

PEAP-MSCHAPv2 depende del hash NT de la contraseña de un usuario, el cual Google Workspace no almacena ni expone de forma nativa. La solución recomendada es migrar a EAP-TLS utilizando un proveedor de Cloud RADIUS que cuente con una PKI integrada. El servicio Cloud RADIUS puede sincronizar las identidades de los usuarios desde Google Workspace a través de SAML/SCIM, y autenticar los dispositivos utilizando certificados de cliente en lugar de contraseñas.

Q2. Una sucursal reporta que los usuarios experimentan retrasos de 30 segundos al conectarse a la red WiFi, seguidos de una conexión exitosa. La IP principal de Cloud RADIUS en esa región se encuentra actualmente en mantenimiento. ¿Qué error de configuración está causando este retraso?

Sugerencia: Analice la comunicación entre el NAS y los servidores RADIUS.

Ver respuesta modelo

El NAS (punto de acceso o switch) tiene configurado un tiempo de espera del servidor RADIUS demasiado alto (por ejemplo, 30 segundos). Está esperando a que el servidor principal responda antes de transferir la carga al servidor secundario. El tiempo de espera debe reducirse a un rango de 3 a 5 segundos para garantizar una rápida conmutación por error sin afectar la experiencia del usuario.

Q3. Está implementando Cloud RADIUS para un hospital. El equipo de seguridad exige que únicamente los dispositivos propiedad de la empresa puedan conectarse a la red interna, incluso si un empleado conoce un nombre de usuario y contraseña válidos. ¿Cómo aplica esta regla?

Sugerencia: ¿Qué método EAP verifica la identidad del dispositivo y no solo el conocimiento del usuario?

Ver respuesta modelo

Implemente EAP-TLS. Configure la solución MDM del hospital para distribuir un certificado de cliente único únicamente a los dispositivos registrados propiedad de la empresa. Configure la política de Cloud RADIUS para rechazar cualquier solicitud de autenticación que no presente un certificado válido firmado por la PKI interna de confianza, bloqueando de manera efectiva los dispositivos BYOD o no autorizados, independientemente del conocimiento de la contraseña.

Continúe leyendo esta serie

Los beneficios de seguridad de RADIUS as a Service para fuerzas de trabajo híbridas

Esta guía de referencia técnica explica cómo RADIUS as a Service protege el acceso a la red para fuerzas de trabajo híbridas en instalaciones distribuidas. Cubre la arquitectura, los beneficios de seguridad y los pasos de implementación para reemplazar la infraestructura RADIUS local por un servicio de autenticación gestionado en la nube. Para gerentes de TI y arquitectos de red en hoteles, cadenas de retail, estadios y organizaciones del sector público, esta guía proporciona la evidencia necesaria para evaluar y actuar en una migración a RADIUS en la nube este trimestre.

Leer la guía →

Integrating RADIUS as a Service with Cloud Directories (Azure AD & Google Workspace)

This technical reference guide details how to integrate RADIUS as a Service with cloud directories - Microsoft Entra ID and Google Workspace - for enterprise WiFi authentication. It covers the architectural shift from on-premise NPS to cloud-native RADIUS, the deployment of certificate-based EAP-TLS authentication, and the operational best practices for securing wireless access across hospitality, retail, and public-sector environments. For IT managers and network architects already invested in cloud identity, this guide bridges the gap between directory management and physical network security.

Leer la guía →

Cómo implementar la autenticación 802.1X con Cloud RADIUS

Esta guía de referencia técnica proporciona un marco integral para implementar la autenticación 802.1X con Cloud RADIUS en entornos empresariales distribuidos. Detalla la arquitectura, la selección del método EAP, la secuencia de implementación y las estrategias de mitigación de riesgos necesarias para proteger el acceso a la red, eliminando al mismo tiempo la carga operativa de la infraestructura local.

Leer la guía →