¿Qué es Radius?

Author

Blogify
1 de agosto de 2025

RADIUS (Remote Authentication Dial-In User Service) es un protocolo de red que proporciona gestión centralizada de autenticación, autorización y contabilidad (AAA) para usuarios que se conectan a una red. Es ampliamente utilizado en redes empresariales para controlar el acceso a servicios como Wi-Fi, VPN, switches y más345.

Funciones principales

  • Autenticación: Verifica la identidad del usuario antes de permitir el acceso.

  • Autorización: Determina qué recursos puede utilizar el usuario una vez autenticado.

  • Contabilización: Registra la actividad del usuario, como tiempo de conexión y datos transferidos345.

Arquitectura RADIUS

La arquitectura RADIUS se compone de tres elementos principales:

  • Servidor RADIUS: Centraliza la AAA y almacena las credenciales de los usuarios.

  • Cliente RADIUS: Normalmente un dispositivo de red (switch, punto de acceso, VPN, etc.) que solicita la autenticación al servidor RADIUS.

  • Usuario final (Suplicante): El usuario o dispositivo que intenta acceder a la red134.

Proceso de Autenticación con RADIUS

  1. El usuario solicita acceso a la red introduciendo sus credenciales (usuario/contraseña).

  2. El cliente RADIUS (por ejemplo, un switch o AP) recibe la solicitud y la envía al servidor RADIUS.

  3. El servidor RADIUS valida las credenciales:

    1. Si son correctas, responde con un mensaje de aceptación y, opcionalmente, políticas de acceso.

    2. Si son incorrectas, responde con un rechazo.

  4. El cliente RADIUS permite o deniega el acceso al usuario según la respuesta del servidor135.

Métodos de Autenticación Soportados

  • PAP (Password Authentication Protocol)

  • CHAP (Challenge Handshake Authentication Protocol)

  • EAP (Extensible Authentication Protocol)

  • Integración con Active Directory, LDAP, certificados digitales, tokens, etc.35

Ventajas de RADIUS

  • Centralización de credenciales y políticas de acceso.

  • Compatibilidad con múltiples protocolos y dispositivos.

  • Escalabilidad y flexibilidad para entornos grandes.

  • Registro detallado de la actividad de los usuarios.

  • Integración con sistemas de autenticación externos.35

Ejemplo de Escenario de Uso

En una universidad, los puntos de acceso Wi-Fi están configurados como clientes RADIUS. Cuando un estudiante intenta conectarse, el AP solicita la autenticación al servidor RADIUS, que verifica las credenciales y permite el acceso solo a usuarios válidos34.

Configuración Básica de un Servidor RADIUS

Requisitos previos

  • Un servidor con software RADIUS (por ejemplo, FreeRADIUS, Microsoft NPS, etc.).

  • Dispositivos de red compatibles con RADIUS (switches, APs, routers).

  • Red IP funcional entre servidor y clientes RADIUS.

1. Instalación del servidor RADIUS

En sistemas Linux, FreeRADIUS es una opción común: 

bash

sudo apt-get update sudo apt-get install freeradius

En Windows, se puede usar el servicio NPS (Network Policy Server).

2. Configuración de usuarios

Edita el archivo de usuarios (ejemplo para FreeRADIUS): 

text

usuario1 Cleartext-Password := "contraseña1"

3. Configuración de clientes RADIUS

En FreeRADIUS, edita clients.conf: 

text

client switch1 { ipaddr = 192.168.1.2 secret = clavecompartida }

La clave compartida debe coincidir en el servidor y en el cliente.

4. Configuración de dispositivos de red (cliente RADIUS)

En un switch o AP, configura el servidor RADIUS: 

bash

radius-server host 192.168.1.10 key clavecompartida aaa authentication login default group radius local

En dispositivos Cisco, la configuración puede variar según el modelo.

5. Configuración de autenticación (ejemplo: Wi-Fi WPA2-Enterprise)

  • Selecciona WPA2-Enterprise/EAP en el AP.

  • Introduce la IP del servidor RADIUS y la clave compartida.

  • Los usuarios deben autenticarse con sus credenciales almacenadas en el servidor RADIUS.

Configuración avanzada: 802.1X y grupos de servidores

  • 802.1X: Permite la autenticación de usuarios en puertos de switches antes de permitir el tráfico.

  • Grupos de servidores: Se pueden definir varios servidores RADIUS para redundancia y balanceo, especificando algoritmos como round-robin o directo según la topología2.

Integración con Directorios Externos

RADIUS puede integrarse con Active Directory o LDAP para autenticación centralizada, permitiendo gestionar usuarios desde una única base de datos y aplicar políticas avanzadas5.

Contabilización y monitoreo

RADIUS puede registrar:

  • Hora de inicio y fin de sesión

  • Volumen de datos transferidos

  • Intentos fallidos de acceso

Esto permite auditar el uso de la red y detectar posibles incidentes de seguridad345.

Resolución de Problemas Comunes

  • Fallo de autenticación: Verificar credenciales, configuración del usuario en el servidor y la clave compartida.

  • Problemas de conectividad: Revisar IP, máscara de red y puerta de enlace en el servidor y clientes.

  • Desincronización de claves: La clave compartida debe coincidir exactamente en ambos extremos.

  • Logs: Consultar los registros del servidor RADIUS para detalles de errores4.

Mejores Prácticas

  • Usar claves compartidas seguras y cambiarlas periódicamente.

  • Limitar el acceso al servidor RADIUS solo a dispositivos autorizados.

  • Monitorear los logs para detectar accesos sospechosos o fallidos.

  • Implementar redundancia con varios servidores RADIUS.

  • Integrar con directorios externos para facilitar la gestión de usuarios5.

Resumen

RADIUS es un sistema robusto y flexible para la gestión centralizada de acceso a la red, ampliamente adoptado en entornos empresariales, educativos y de proveedores de servicios. Su correcta implementación mejora la seguridad, facilita la administración y permite un control granular sobre quién accede a la red y cómo lo hace345.

Reply

or to participate.