Blog

Por Sarah Kolberg | 15.01.2025

Mientras que RADIUS se utiliza para inicios de sesión de usuarios en redes Wi-Fi, TACACS+ gestiona el acceso a dispositivos de red. ¿Cuál es el mejor protocolo de seguridad de red para gestionar el acceso de usuarios en tu organización?

Asegurar redes industriales implica muchas capas para proteger los datos y la infraestructura. Y requiere más que solo implementar firewalls y sistemas de detección de intrusos. La gestión del acceso de usuarios es una parte fundamental para garantizar la continuidad operativa, la seguridad y la integridad de los datos.

Los protocolos AAA (autenticación, autorización y contabilidad), que son un tipo de protocolos de seguridad de red, establecen las reglas y estándares que determinan cómo los usuarios interactúan con la red. Verifican la identidad, gestionan permisos y autenticación, mantienen registros de actividad, etc. Aunque existen varios protocolos AAA que pueden cumplir este rol, dos son ampliamente conocidos:

  • RADIUS (Remote Authentication Dial-In User Service)
  • TACACS+ (Terminal Access Controller Access-Control System Plus)

Ambos protocolos de seguridad de red se utilizan para gestionar el acceso de usuarios. Para simplificar la gestión de políticas de acceso y controles de seguridad, pueden vincularse a varios servicios de directorio e implementar una administración centralizada del acceso de usuarios.

RADIUS y TACACS+ tienen diferentes enfoques, arquitecturas y funciones. ¿Cuál es el más adecuado para tu entorno? Vamos a analizarlo.

Lo que necesitas saber sobre RADIUS

Como un protocolo de seguridad de red consolidado, RADIUS se utiliza en muchas organizaciones para inicios de sesión de usuarios en redes Wi-Fi. Con RADIUS, es posible una administración centralizada para estructuras de red distribuidas, lo que lo hace atractivo para grandes empresas.

¿Cómo funciona RADIUS?
RADIUS se basa en una arquitectura cliente-servidor. Se requiere un cliente RADIUS, un servidor de acceso a la red (NAS) o autenticador y un servidor RADIUS para el inicio de sesión mediante este protocolo.

El cliente RADIUS, instalado en los dispositivos finales, inicia la solicitud de inicio de sesión. Esta se transmite como un paquete de solicitud de acceso al NAS, que luego reenvía la información del usuario al servidor RADIUS. El servidor:

  • Compara los datos del paquete con la base de datos de usuarios.
  • Concede o niega el permiso de acceso.
  • Establece la conexión correspondiente a la red.

RADIUS utiliza el protocolo de transporte UDP. La autenticación y la autorización están combinadas en una sola solicitud, lo que no siempre es ideal para requisitos de seguridad más estrictos. Por ello, suele ser adecuado para escenarios donde un control de acceso sencillo es suficiente. Es compatible con una gran cantidad de dispositivos de red y fácil de implementar.

¿Qué tan seguro es RADIUS?
RADIUS solo encripta la contraseña en el paquete. Otros componentes, como los nombres de usuario y la información de facturación, están protegidos únicamente por el propio protocolo.

Dado que RADIUS utiliza UDP, cuenta con menos mecanismos de control para la transmisión de paquetes, lo que lo hace más susceptible a ciertos tipos de ataques que TACACS+.

Lo que necesitas saber sobre TACACS+

También basado en una arquitectura cliente-servidor, TACACS+ se utiliza con frecuencia para gestionar el acceso de administradores a dispositivos de red, como routers y switches. Es adecuado para entornos que requieren mayor control y administración detallada de autorizaciones y actividades de usuarios, pero actualmente solo lo soportan algunos fabricantes importantes de dispositivos de red.

En comparación con RADIUS, TACACS+ tiene funciones de autorización más detalladas y flexibles. Permite implementar políticas de seguridad e instrucciones más complejas.

¿Cómo funciona TACACS+?
Una solicitud de autenticación se envía desde el dispositivo de red al servidor TACACS+. Este compara la información de inicio de sesión con una base de datos o un servicio de directorio y la verifica. El servidor TACACS+ envía una respuesta al dispositivo de red con el permiso o la negación de acceso.

Tras una autenticación exitosa, el dispositivo de red envía una solicitud de autorización al servidor TACACS+. El servidor verifica qué comandos y acciones están permitidos para el usuario, y el dispositivo recibe esa lista de comandos autorizados.

TACACS+ utiliza el protocolo de transporte TCP. Los procesos de autenticación, autorización y contabilidad están divididos en funciones y solicitudes separadas, lo que permite introducir soluciones de autenticación independientes y una gestión detallada.

¿Qué tan seguro es TACACS+?
En general, TACACS+ ofrece más medidas de seguridad. Por ejemplo, la encriptación de paquetes: mientras que RADIUS solo encripta la contraseña, TACACS+ encripta el contenido completo del paquete, mejorando la ciberseguridad y haciéndolo apto para los nuevos requisitos de soluciones de seguridad.

Al usar TCP, proporciona una transmisión más confiable. TCP también permite un mejor control de errores: si un servidor falla o se detiene, esto se indica de inmediato.

¿Qué protocolo de seguridad es el adecuado para tu entorno?

RADIUS y TACACS+ contribuyen de diferentes maneras a mejorar la seguridad de la red.

  • RADIUS: Suficiente para la mayoría de los escenarios, con una implementación sencilla y un esfuerzo administrativo manejable.
  • TACACS+: Ofrece más funciones y mejores medidas de seguridad, proporcionando una mayor protección para áreas críticas de seguridad.

Si necesitas ayuda para determinar cuál es el protocolo de seguridad de red más adecuado para tu organización y entorno, Belden puede ayudarte a tomar la decisión correcta.

esta es una traduccion y adaptacion del articulo original: https://www.belden.com/blogs/industrial-automation/2025/01/15/radius-or-tacacs-the-right-network-security-protocol-to-manage todos los derechos reservados.

Related Posts

¿Está especificando un cable Ethernet que genera fallas en la red?

por Nick Birk 6/13/18   Las redes Ethernet se usaron por primera vez en el entorno de la oficina mucho antes de... read more

5 Expectativas tecnológicas de la nueva generación de trabajadores móviles

Por Ron Tellas  La movilidad y la flexibilidad laboral han creado un nuevo tipo de trabajador. Aunque el cambio ocurría antes... read more

Ventev antenas bidireccionales

Garantizar una cobertura y capacidad sin interrupciones en entornos de alta densidad con nuevas antenas Las dos antenas más nuevas de... read more

Lumberg Automation: Cable Profibus para entornos hostiles

Cable de señal Profibus, moldeado en ambos lados con conector macho M12 y conector hembra M12, 5 polos, codificación B,... read more

siemon: Cableado Estructurado de Redes TERA Categoría 7A

La solución de cableado punta a punta totalmente blindada TERA de Siemon excede todas las especificaciones de la ISO/IEC categoría... read more

¿Está planeando una red de OT para su almacén? Por dónde empezar

El cambio está llegando -y rápido- a los entornos de manipulación de materiales. Es sólo cuestión de tiempo...

read more

Siemon: Fibra o CObre

Lea el siguiente documento de BICSi acerca de la fibra y el cobre, 15-12-03-bicsi-icttoday-copper-vs-fiber-es (1) read more

Catálogo conectores Hirschmann y Lumberg

Belden Cable 1392A

1392A es un popular cable para control y automatización: para datos, lleva un par calibre 22 (blindado y con capacitancia minima!)... read more

5 Trucos para Administrar Grandes Proyectos

Por Michael Masucci Después de que los proyectos de cableado complejos llegan a su fin, siempre hay algunas lecciones... read more