🧿 ¿Qué es RADIUS?

Remote Authentication Dial-In User Service

📍Protocolo de autenticación, autorización y contabilidad (AAA)

1️⃣ ALEGORÍA + 🧠 EXPLICACIÓN TÉCNICA

ALEGORÍA PARA COMPRENDER RADIUS

Imagina una ciudadela con una única puerta mágica. Cada visitante debe presentar una tarjeta de identidad para entrar.

Pero la guardia no decide por sí misma si dejarte entrar:

  • Pregunta por radio a un oráculo central (el servidor RADIUS).

  • El oráculo consulta los libros sagrados (base de datos de usuarios) y responde:

    • ✅ "Sí, tiene permiso de entrar al área de entrenamiento."

    • ❌ "No, este visitante está expulsado."

Además, el oráculo anota en un pergamino quién entró, cuándo, desde dónde y por cuánto tiempo. Así se lleva el registro sagrado de todas las entradas.

Así funciona RADIUS:
Una autoridad central que autentica a los usuarios, les autoriza acceso a recursos, y registra sus acciones.

🧠 EXPLICACIÓN TÉCNICA

RADIUS (Remote Authentication Dial-In User Service) es un protocolo AAA:

  • Autenticación: verifica que el usuario sea quien dice ser.

  • Autorización: define a qué recursos puede acceder y bajo qué condiciones.

  • Contabilidad (Accounting): registra qué hizo, cuándo, cuánto tiempo y desde dónde.

📡 ¿Cómo funciona?

  1. El cliente RADIUS (como un switch, firewall, o punto de acceso Wi-Fi) envía la solicitud de acceso del usuario al servidor RADIUS.

  2. El servidor valida las credenciales (contra AD, LDAP, base de datos interna).

  3. Si todo está bien, autoriza el acceso.

  4. Registra la sesión (logs de acceso, duración, etc.).

2️⃣ EJEMPLOS PRÁCTICOS

  • 🔐 Acceso a Wi-Fi corporativa con credenciales personales vía 802.1X + RADIUS.

  • 🖥️ Control de acceso en switches o firewalls: solo ciertos admins pueden hacer login.

  • 🏢 VPN corporativa que usa RADIUS para verificar credenciales en cada conexión.

  • 🕵️ Auditoría de accesos de usuarios, especialmente útil en entornos regulados (ISO, HIPAA, etc.).

3️⃣ HERRAMIENTAS Y COMPONENTES REALES

🧰 Servidores RADIUS más comunes:

  • FreeRADIUS (Linux, open source, muy flexible)

  • Microsoft NPS (Network Policy Server, para entornos Windows)

  • Cisco ISE (infraestructura centralizada de autenticación y políticas)

  • FortiAuthenticator, ClearPass (Aruba)

📶 Se integra con:

  • Active Directory (usuarios corporativos)

  • LDAP

  • Base de datos SQL o archivos planos

4️⃣ ¿QUÉ HACE CADA EQUIPO?

🔴 Red Team (ataca):

  • Intenta interceptar paquetes RADIUS si no están protegidos (UDP/1812 puede ser vulnerable).

  • Realiza ataques de diccionario si hay mecanismos débiles de autenticación.

  • Intenta aprovechar mala configuración de NAS para obtener acceso administrativo sin control central.

🔵 Blue Team (defiende):

  • Asegura el canal RADIUS con IPsec o túneles protegidos.

  • Limita la autenticación sólo desde dispositivos de red registrados.

  • Aplica MFA integrado con RADIUS (ej. VPN + OTP o DUO).

  • Revisa logs de contabilidad para detectar accesos fuera de horario o inusuales.

🟣 Purple Team (supervisa y refuerza):

  • Lanza pruebas de conexión falsas para verificar si el SIEM detecta intentos fallidos.

  • Audita todos los dispositivos NAS conectados al servidor RADIUS.

  • Correlaciona accesos desde VPN, Wi-Fi o switches con el comportamiento del usuario.

5️⃣ ✅ RESUMEN PRÁCTICO

  • RADIUS es el centro de autenticación remota para redes empresariales.

  • Se usa para gestionar accesos centralizados a Wi-Fi, VPN, switches, firewalls y más.

  • Implementa el modelo AAA: Autenticación, Autorización y Contabilidad.

  • Su fortaleza depende de cómo se integran políticas, registros y cifrado.

  • Es vital para aplicar Zero Trust: no hay acceso sin verificación explícita y seguimiento total.

Purple Mystara - Cristina Martínez Girol
Todos los derechos reservados 2025
Creado con Webnode Cookies
¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar