ºÚÁϺ£½Ç91Èë¿Ú

RADIUS local frente a RADIUS en la cloud

Escrito por David Worthington en April 12, 2023

Comparte este artículo

RADIUS es un protocolo básico en la gestión de infraestructuras de red y la autenticación Wi-Fi, que proporciona autenticación, autorización y contabilidad (AAA, por sus siglas en inglés). El protocolo se ideó en la época de la conexión telefónica, pero sigue evolucionando para satisfacer las necesidades de las pequeñas y medianas empresas (PyMEs) modernas.

La forma en que se entrega a los clientes ha cambiado, ya que muchas organizaciones optan por la eficiencia y la seguridad de un servicio basado en la cloud en lugar de servidores autogestionados. Los servidores RADIUS siguen siendo una opción viable para las PyMEs, pero se requiere de una multitud de tareas para su instalación y configuración, así como pasos adicionales para la integración con las pilas de identidad.

Este artículo examina cada una de esas opciones de despliegue haciendo hincapié en sus respectivas ventajas y diferencias. También analiza cómo las migraciones a la cloud pueden aportar valor adicional para permitir la unificación de TI e incluir RADIUS dentro de una estrategia de ciberseguridad de Confianza Cero (Zero Trust).

¿Qué es RADIUS en la cloud?

Los servicios RADIUS en la cloud son gestionados por un tercero que proporciona alta disponibilidad y estándares de cumplimiento de seguridad que normalmente son inalcanzables para una PyME. Por ejemplo, ºÚÁϺ£½Ç91Èë¿Ú ha completado evaluaciones independientes para el examen SOC 2 Tipo 2.

ºÚÁϺ£½Ç91Èë¿Ú Cloud RADIUS (RADIUS en la cloud) está pre-integrado con servicios de directorio y autenticación multi-factor (MFA). RADIUS ha utilizado normalmente PEAP o EAP-TTLS para la autenticación sin MFA. MFA es un requisito del NIST (cumplimiento 800-171) para el acceso local y de red a cuentas privilegiadas y para el acceso de red a cuentas no privilegiadas. En otras palabras, utilice MFA siempre que sea posible.

Controles de seguridad de confianza cero

La eficacia de la MFA se ve reforzada por otros controles de seguridad, como las políticas de acceso condicional. Estas políticas especifican desde dónde puede acceder un cliente a los recursos, pueden hacer que la MFA sea obligatoria para grupos de usuarios y pueden restringir el acceso a dispositivos gestionados. La plataforma ºÚÁϺ£½Ç91Èë¿Ú hace que estas capacidades de seguridad estén disponibles inmediatamente sin necesidad de instalaciones adicionales. 

También incluye funciones que gestionan los dispositivos que ejecutan los principales sistemas operativos móviles y de escritorio a través de la gestión de dispositivos móviles (MDM, por sus siglas en inglés) y políticas similares a GPO. MDM configura, controla y gestiona los dispositivos. Otra función es la gestión de parches.

Identidades de terceros

El servicio ºÚÁϺ£½Ç91Èë¿Ú RADIUS también permite consumir identidades de terceros mediante un nombre de usuario y una contraseña. Esto permite a los usuarios acceder a redes Wi-Fi con las mismas credenciales que utilizan en cualquier otro lugar.

Contar con opciones integradas para la autenticación evita a los administradores TI la dificultad de conectarse a un directorio externo como Microsoft Azure, que puede carecer de soporte y requerir un desarrollo personalizado o la licencia de una solución de terceros especialmente diseñada. Un servidor RADIUS independiente no puede lograr esto sin un servidor LDAP asociado que esté especialmente configurado para Azure AD (u otra plataforma de directorio en la cloud).

¿Cómo funciona RADIUS en la cloud?

Los administradores de TI consumen y configuran un servicio frente a la configuración de servidores. Este ejemplo describe cómo se configuran los puntos de acceso inalámbricos para utilizar la autenticación RADIUS, pero el proceso es el mismo para todos los servidores de acceso a la red (NAS, por sus siglas en inglés).

  1. La solución RADIUS en la cloud es un servidor RADIUS que se integra con un servicio de directorio en la cloud. Se puede conceder acceso a grupos de usuarios dentro del directorio que están vinculados a la conexión RADIUS.
  2. Los administradores informáticos sólo tienen que dirigir sus WAP al servidor RADIUS virtual introduciendo una de sus direcciones IP.
  3. Elija si desea utilizar PEAP o EAP-TTLS para la autenticación y determine si se requiere MFA. Los administradores también generan un secreto compartido que se mantiene confidencial.
  4. A continuación, el servidor RADIUS verifica automáticamente las credenciales del usuario con el servicio de directorio integrado basado en la cloud.

Desde la perspectiva del usuario final, hay muy poco que hacer. El usuario introduce sus credenciales, las que utiliza como credenciales principales. Después de eso, el usuario no tiene que volver a introducir sus credenciales hasta que cambie su contraseña.

El dispositivo del usuario transmitirá las credenciales al WAP cuando acceda a la red. El WAP reenvía automáticamente las credenciales al servidor RADIUS y, a continuación, el directorio en la cloud valida la identidad.

¿Qué es RADIUS Local?

Las primeras implementaciones de RADIUS se desarrollaron a finales de los 90 y se ejecutaban en servidores locales. FreeRADIUS es un ejemplo popular de código abierto que se sigue utilizando hoy en día. La función de servidor NPS de Microsoft para Windows Server es otra opción adoptada por muchos administradores de TI.

Los servidores RADIUS a veces van acompañados de VPNs IPSec o WireGuard para garantizar que las credenciales de usuario con hash MD5 y los atributos específicos de usuario (como la pertenencia a una VLAN) permanezcan confidenciales. La seguridad es responsabilidad exclusiva del administrador.

¿Cómo funciona RADIUS Local?

Los servidores RADIUS locales requieren bibliotecas de software adicionales para replicar la funcionalidad de un servicio RADIUS en la cloud. Es necesario implementar FreeRADIUS, Active Directory® y, a menudo, un puente entre ambos. Es necesario abordar la supervisión, el tiempo de actividad, los respaldos y la seguridad. También puede ser necesario instalar un cliente local en cada dispositivo.

Microsoft NPS se instala en controladores de dominio para optimizar los tiempos de respuesta de la red. Podría instalarse en otro servidor, pero esa configuración puede requerir que solicite más CALS (siglas en inglés para las licencias de acceso de cliente) de usuario o dispositivo. Un entorno de sistema operativo independiente conlleva mayores costos de licencia. El acceso federado al directorio en la cloud requiere integraciones con Azure AD o AD FS.

Diferencias entre Cloud (la cloud) y On-Prem (local)

Los administradores mantienen un mayor control sobre su entorno cuando ellos mismos implementan RADIUS. Sin embargo, la sobrecarga administrativa es mucho mayor y existe la posibilidad de que un servidor se convierta en un único punto de fallo en la cadena de autenticación.

La seguridad y las capacidades adicionales de gestión de acceso e identidades (IAM, por sus siglas en inglés) implican la compra de software, la instalación de otros servidores y, posiblemente, la sincronización del directorio local con los servicios en la cloud.

ºÚÁϺ£½Ç91Èë¿Ú RADIUS ofrece seguridad, alta disponibilidad y facilidad de uso. Una combinación integrada de RADIUS y servicio de directorio que permite a los administradores de TI descargar el trabajo pesado sin dejar de obtener todos los beneficios de RADIUS. Además, la plataforma RADIUS en la cloud es compatible con los protocolos RADIUS comunes.

Más información sobre las distintas soluciones de servidor RADIUS.

Pruebe ºÚÁϺ£½Ç91Èë¿Ú RADIUS

Para obtener más información sobre ºÚÁϺ£½Ç91Èë¿Ú y cómo puede ayudarle a proteger su red Wi-Fi, para una prueba gratuita.

David Worthington

I'm the ºÚÁϺ£½Ç91Èë¿Ú Champion for Product, Security. ºÚÁϺ£½Ç91Èë¿Ú and Microsoft certified, security analyst, a one-time tech journalist, and former IT director.

Continúa Aprendiendo con nuestro Newsletter