circle-info
Este artículo ha sido traducido automáticamente. La traducción puede contener imprecisiones.
Cambiar a la versión original en inglés.chevron-right
search

Seguridad de transporte en RADIUS vs. RadSec

Al implementar autenticación segura usando el Protocolo de Autenticación Extensible (EAP), la elección del protocolo de transporte - RADIUS sobre UDP frente a RADIUS sobre TLS (RadSec) - juega un papel crítico en la determinación de cuán seguros se transmiten los metadatos y los elementos del protocolo a través de la red.

Tanto RADIUS como RadSec pueden transportar mensajes EAP, incluidos los utilizados en métodos comunes como EAP-TLS, PEAP y EAP-TTLS. Si bien el funcionamiento interno del método EAP permanece igual, el protocolo de transporte afecta la visibilidad, la integridad, la confidencialidad de los metadatos y el comportamiento operativo.

Este documento compara cómo RADIUS y RadSec afectan el transporte de EAP, centrándose en el cifrado, el uso del secreto compartido, la exposición de atributos, las implicaciones de registro y las consideraciones de implementación.

hashtag
Seguridad de transporte: diferencias principales

Los métodos EAP como EAP-TLS, PEAP y EAP-TTLS proporcionan mecanismos de autenticación entre clientes (suplicantes) y servidores de autenticación. Sin embargo, estos métodos no cifran de forma inherente el transporte de metadatos entre nodos intermedios. Este papel recae en el protocolo de la capa de transporte:

  • RADIUS (UDP) transmite mensajes EAP y atributos RADIUS en texto claro.

  • RadSec (TLS) cifra todo el paquete RADIUS, asegurando todos los atributos y encabezados del protocolo durante el tránsito.

La tabla siguiente resume estas diferencias que afectan la confidencialidad de atributos como la identidad externa, la IP del NAS, el ID de la estación llamante y más. Aunque los métodos EAP pueden cifrar las credenciales de usuario (por ejemplo, certificados o contraseñas), los metadatos permanecen expuestos con RADIUS estándar a menos que se utilice RadSec.

Protocolo
RADIUS
RadSec

Protocolo de la capa de transporte

UDP (típicamente)

TLS sobre TCP

Cifrado

Sin cifrado de transporte

Cifrado completo del transporte

Puerto predeterminado*

UDP 1812

TCP 2083

Notas

Sin estado; puede ser filtrado por cortafuegos.

Con estado; establece túneles seguros.

*Aunque estos puertos son los estándares reconocidos, algunas implementaciones pueden personalizarlos por políticas locales o razones de infraestructura.

hashtag
El papel del secreto compartido de RADIUS en ambos protocolos

El secreto compartido de RADIUS se utiliza para la integridad de paquetes y comportamientos de cifrado heredados. Esto se aplica independientemente de si el transporte es RADIUS estándar o RadSec.

Usos clave:

  • AVP Message-Authenticator: Garantiza la integridad del paquete usando HMAC-MD5.

  • AVP User-Password (métodos heredados): Cifra credenciales usando el secreto compartido.

  • Compatibilidad con RadSec: Incluso en RadSec, el secreto compartido se mantiene para compatibilidad con la semántica RADIUS y sistemas intermedios.

circle-info

Nota: El secreto compartido nunca se transmite por la red: se usa localmente para operaciones HMAC y validación de AVP.

hashtag
Visibilidad de elementos de datos: RADIUS vs. RadSec

Esta tabla compara elementos de datos clave al usar EAP-TLS sobre RADIUS (UDP) y RadSec (TLS), agrupados por riesgo de visibilidad durante la transmisión.

Elemento de datos
RADIUS (UDP)
RadSec (RADIUS sobre TLS)
Ejemplo / Notas

Paquete RADIUS externo

Texto claro (sobre UDP o TCP).

Cifrado (sobre TLS).

Incluye tanto encabezados como AVP. Ej.: paquete visible en Wireshark o tcpdump.

Identidad de usuario (identidad externa)

Enviada en texto claro.

Cifrado (sobre TLS).

[email protected] utilizada para el enrutamiento de dominio.

AVPs (atributos) RADIUS

Algunas en texto claro (p. ej., NAS-IP, User-Name).

Totalmente cifrados en TLS.

NAS-IP-Address,

Calling-Station-Id

Encabezados RADIUS

Texto claro

Cifrado en TLS

Código (Access-Request), Identificador,

Longitud,

Autenticador

Secreto compartido RADIUS

No transmitido (usado internamente)

No transmitido (usado internamente)

Utilizado para el cifrado de AVP y Message-Authenticator validación.

Carga útil EAP

Cifrado entre el cliente y el servidor

Cifrado en TLS

Incluye el apretón de manos TLS, validación de certificados, etc.

Credenciales de usuario (certificados/clave)

Cifrado en túnel EAP

Cifrado en túnel EAP + TLS

Se aplica a métodos basados en certificado (EAP-TLS) y basados en contraseña (PEAP). Certificado del cliente con sujeto CN=jsmith, OU=IT

Contraseña (p. ej., PEAP o MSCHAPv2)

Cifrado en método con túnel (p. ej., PEAP)

Cifrado en túnel EAP + TLS

Se aplica a métodos basados en contraseña.

hashtag
Privacidad de identidad: Identidad externa vs. interna

Los métodos EAP que usan tunelización o certificados (p. ej., PEAP, EAP-TTLS, EAP-TLS) soportan identidades externa e interna:

  • Identidad externa: Enviada en claro en el AVP User-Name para facilitar el enrutamiento del dominio. A menudo anonimizada (p. ej., [email protected]).

  • Identidad interna: Transportada de forma segura dentro del túnel EAP cifrado (p. ej., nombre de usuario/contraseña, CN del certificado).

hashtag
Comportamiento a través de transportes:

  • En RADIUS, la identidad externa se envía en texto plano y es visible en la red.

  • En RadSec, todo el paquete, incluida la identidad externa, está cifrado.

Las preocupaciones de privacidad relacionadas con que la identidad externa se transmita en texto plano con RADIUS pueden mitigarse configurando privacidad de identidad o aprovechando certificados de dispositivo que no contengan datos PII en el atributo de nombre común

circle-info

Nota: Algunas plataformas, como el cliente EAP nativo de Windows, pueden no soportar la privacidad de identidad por defecto en métodos como EAP-TLS, exponiendo potencialmente la identidad real en la capa externa.

hashtag
Identidad externa

La tabla abajo ofrece una visión general sobre los valores típicos con los que varias plataformas OS rellenan la Identidad Externa.

Tipo de credencial
Identidad externa
SO aplicable

Nombre de usuario/Contraseña

Típicamente: - UPN - Dirección de correo electrónico

  • Windows (puede ser anonimizada)

  • iOS, iPadOS, macOS (puede ser anonimizada)

  • Android (puede ser anonimizada)

Certificado de dispositivo

Propiedad de nombre común (CN) del nombre del sujeto del certificado del cliente. Típicamente: - NombreDelDispositivo - ID de dispositivo de Intune (GUID) - ID de dispositivo AAD (GUID)

  • Windows (no se puede anonimizar) *

  • iOS, iPadOS, macOS (puede ser anonimizada)

  • Android (puede ser anonimizada)

Certificado de usuario

Propiedad de nombre común (CN) del nombre del sujeto del certificado del cliente. Típicamente: - UPN - Dirección de correo electrónico

  • Windows (no se puede anonimizar)*

  • iOS, iPadOS, macOS (puede ser anonimizada)

  • Android (puede ser anonimizada)

*El cliente EAP utilizado en Windows no admite privacidad de identidad para EAP-TLS.

hashtag
Consideraciones sobre registro y despliegue

hashtag
RadSec (TLS)

RadSec cifra todo el paquete RADIUS, lo que impide la escucha pasiva. Esto traslada el registro y el diagnóstico de la inspección de red al nivel de la aplicación o del servidor RADIUS, ya que estos son los puntos finales que terminan la sesión TLS. Las organizaciones que migren a RadSec deben evaluar los flujos de trabajo de monitorización para acomodar el tráfico cifrado.

hashtag
RADIUS (UDP)

La transmisión en texto plano de atributos (User-Name, NAS-IP-Address, etc.) simplifica la resolución de problemas y el diagnóstico en vivo, permitiendo la captura de paquetes con herramientas mínimas. Sin embargo, esto aumenta el riesgo de exposición de metadatos sensibles durante el tránsito.

hashtag
Soporte de red

El soporte para RadSec no es universal en todos los dispositivos e infraestructuras de red. Muchos conmutadores de red, puntos de acceso inalámbricos y cortafuegos solo admiten RADIUS tradicional. En entornos mixtos puede ser necesario un proxy RadSec a RADIUS para enlazar componentes modernos y heredados. Se recomiendan evaluaciones de la infraestructura antes de desplegar RadSec en producción.

hashtag
Conclusión y puntos clave

Transportar métodos EAP ya sea sobre RADIUS o RadSec ofrece la misma protección fuerte de extremo a extremo para las credenciales de usuario, pero difiere significativamente en cómo se exponen los metadatos y los elementos del protocolo durante el tránsito.

  • Protección EAP de extremo a extremo: EAP proporciona una fuerte protección para las credenciales de usuario tanto sobre RADIUS como sobre RadSec.

  • Diferencia principal: RADIUS utiliza UDP y no cifra el propio paquete RADIUS, mientras que RadSec envuelve todo el paquete en TLS, ocultando todos los atributos y encabezados en la red.

  • Confidencialidad de metadatos: RadSec cifra todos los metadatos (encabezados, atributos e Identidad Externa), evitando la exposición a nivel de red.

  • Secreto compartido: El Secreto Compartido nunca se transmite. Solo se utiliza localmente para calcular verificaciones de integridad de mensajes y verificar la autenticidad.

  • Compensaciones: RadSec proporciona mayor confidencialidad pero complica el diagnóstico debido al cifrado, y su soporte no es universal en todo el equipo de red.

hashtag
Estándares y referencias RFC

Para más detalles sobre protocolos y especificaciones:

  • EAP (Protocolo de Autenticación Extensible): RFC 3748

  • EAP-TLS: RFC 5216

  • RADIUS (Servicio de Acceso Remoto y Autenticación): RFC 2865

  • RadSec (RADIUS sobre TLS): RFC 6614

Última actualización

¿Te fue útil?