¿Qué es un servidor RADIUS?
Un servidor RADIUS (Remote Authentication Dial-In User Service) es un protocolo de red y una aplicación de servidor que gestiona de forma centralizada la autenticación, la autorización y el registro (AAA) de los usuarios y dispositivos que se conectan a una red. Es la columna vertebral de la seguridad del Wi-Fi empresarial y trabaja con los puntos de acceso Wi-Fi y las pasarelas VPN para verificar las credenciales antes de conceder acceso a la red. RADIUS es esencial para las implementaciones de WPA3 Enterprise y se usa ampliamente en redes corporativas, educativas y gubernamentales para garantizar que solo los usuarios y dispositivos autorizados puedan conectarse. Al centralizar la gestión de usuarios, RADIUS elimina las debilidades de seguridad de las contraseñas compartidas y proporciona registros de auditoría detallados de quién accedió a la red, cuándo y desde dónde.
Explicación detallada
El marco AAA
RADIUS proporciona tres funciones principales, conocidas colectivamente como AAA.
| Función | Nombre completo | Propósito |
|---|---|---|
| Autenticación | Authentication | Verifica que un usuario o dispositivo es quien dice ser |
| Autorización | Authorization | Determina qué recursos y privilegios se conceden |
| Registro | Accounting | Registra cuándo, por parte de quién y durante cuánto tiempo se usó una conexión |
Cuando un usuario intenta conectarse a una red Wi-Fi o a una VPN, el punto de acceso o el conmutador (que actúa como cliente RADIUS) reenvía las credenciales al servidor RADIUS. El servidor coteja las credenciales con su base de datos de usuarios y, si son válidas, devuelve un mensaje de aceptación de acceso junto con parámetros de autorización como la asignación de VLAN, los límites de ancho de banda o las listas de control de acceso. Todos los eventos de conexión quedan registrados para el cumplimiento normativo y la resolución de problemas.
RADIUS en el Wi-Fi empresarial
Las redes Wi-Fi domésticas suelen usar una clave precompartida (PSK), lo que significa que todos comparten la misma contraseña. Esto es un punto débil de seguridad, porque un empleado que se marcha o una contraseña filtrada compromete toda la red. Con RADIUS, cada usuario tiene credenciales individuales (nombre de usuario y contraseña, o un certificado digital), y un administrador puede deshabilitar una sola cuenta sin afectar a nadie más. Combinado con WPA2/WPA3 Enterprise y EAP (Extensible Authentication Protocol), RADIUS ofrece una autenticación robusta por usuario que escala desde pequeñas oficinas hasta grandes empresas globales.
Software y dispositivos RADIUS populares
FreeRADIUS es el servidor RADIUS de código abierto dominante, que impulsa la inmensa mayoría de las implementaciones de RADIUS en todo el mundo. Es altamente configurable, admite prácticamente todos los métodos EAP e se integra con LDAP y Active Directory. En el lado comercial, Cisco ISE (Identity Services Engine) y Aruba ClearPass ofrecen funciones avanzadas como la evaluación de postura (la comprobación del estado de seguridad de los dispositivos que se conectan) y la integración con marcos de control de acceso a la red (NAC). Para redes pequeñas, algunos dispositivos NAS y routers empresariales incluyen una funcionalidad de servidor RADIUS integrada que puede gestionar un número modesto de usuarios.
Cómo elegir
1. Escala según el tamaño de tu organización
Para pequeñas oficinas con unas pocas decenas de usuarios, FreeRADIUS en un servidor Linux o una función RADIUS integrada en un NAS resulta rentable. Las empresas de tamaño medio a grande con cientos o miles de usuarios deberían plantearse productos comerciales que se integren con Active Directory, admitan la autenticación basada en certificados y ofrezcan consolas de gestión gráficas.
2. Verifica la compatibilidad con los métodos EAP
La autenticación RADIUS usa EAP, que viene en varias modalidades: EAP-TLS (basado en certificados, el más seguro), PEAP (basado en contraseña con un túnel cifrado) y EAP-TTLS/PAP, entre otros. Asegúrate de que el servidor RADIUS que elijas admita los métodos EAP que tus dispositivos cliente (PC, teléfonos, sensores IoT) puedan usar.
3. Confirma la integración con el directorio
Si tu organización ya ejecuta Active Directory o LDAP, elige un servidor RADIUS que se integre sin fisuras con tu directorio existente. Esto evita la carga de mantener una base de datos de usuarios aparte y permite flujos de trabajo de inicio de sesión único que simplifican la experiencia del usuario.
Conclusión
Un servidor RADIUS es una infraestructura fundamental para cualquier organización que se tome en serio la seguridad de la red. Al centralizar la autenticación y proporcionar credenciales por usuario, elimina las vulnerabilidades de contraseña compartida del Wi-Fi de consumo y ofrece un registro de auditoría completo. Evalúa el tamaño de tu organización, los métodos EAP preferidos y los servicios de directorio existentes, y selecciona una solución RADIUS que equilibre los requisitos de seguridad con una complejidad manejable. Bien hecho, RADIUS es el guardián invisible que mantiene tu red a salvo.
Productos recomendados
Los servidores RADIUS se pueden montar en una Raspberry Pi con FreeRADIUS, o habilitar mediante paquetes integrados en un NAS o un router. Estas son tres plataformas para configurar la autenticación RADIUS.
| Producto | Característica | Rango de precio |
|---|---|---|
| Raspberry Pi 4B 4GB | Plataforma para servidor FreeRADIUS | ~12.000 ¥ |
| Synology DS224+ | Paquete de servidor RADIUS integrado | ~38.000 ¥ |
| ASUS RT-AX86U Pro | Servidor RADIUS integrado | ~27.000 ¥ |
Raspberry Pi 4B 4GB (servidor FreeRADIUS)
La mejor relación calidad-precio. Perfecto para quien cuida el presupuesto. La plataforma más popular para ejecutar FreeRADIUS, un servidor RADIUS de código abierto con todas las funciones. Admite métodos de autenticación IEEE 802.1X, incluidos EAP-TTLS y PEAP para el Wi-Fi empresarial. Rendimiento estable en Raspberry Pi OS y ampliamente documentado con tutoriales de la comunidad, lo que lo hace ideal para aprender, para laboratorios y para implementaciones pequeñas.
Synology DS224+ (NAS con paquete de servidor RADIUS)
Máxima satisfacción de los usuarios. Una opción fiable. El NAS de Synology incluye un paquete «RADIUS Server» que puede habilitarse desde el Centro de Paquetes de DSM con unos pocos clics, sin necesidad de configuración por línea de comandos. Se integra con VPN Server, Active Directory y LDAP, lo que te permite usar el NAS como un centro de autenticación central mientras sigue funcionando como servidor de archivos.
ASUS RT-AX86U Pro (servidor RADIUS integrado)
La opción equilibrada. El mejor modelo polivalente. Este router Wi-Fi 6 de ASUS lleva un servidor RADIUS integrado que habilita la autenticación 802.1X de nivel empresarial para el Wi-Fi sin ningún hardware adicional. Combínalo con la segmentación por VLAN para crear una red en la que solo los usuarios autenticados accedan a recursos concretos. Una solución muy rentable para pequeñas oficinas y escuelas.
Resumen
Los servidores RADIUS centralizan la autenticación, la autorización y el registro de la red para un control de acceso seguro. Si no sabes por dónde empezar, el Synology DS224+ es nuestra principal recomendación: su paquete de servidor RADIUS fácil de usar funciona junto a las funciones de NAS, lo que te permite desplegar la autenticación con una configuración mínima y sin un servidor dedicado.