Freeradius on Servicios Rogeliowar

EAP-TLS vs PEAP para WiFi empresarial: cuándo usar certificados y por qué TOTP no encaja en 802.1X

Thu, 18 Jun 2026 00:00:00 +0000

Cuando un cliente pregunta si puede añadir TOTP al WiFi corporativo para cumplir con su política de MFA, la respuesta técnicamente correcta es “sí, pero no deberías”. Este artículo explica por qué TOTP es prácticamente inutilizable en 802.1X, cómo comparar los métodos EAP más comunes y cuál es la ruta recomendada hacia una autenticación WiFi robusta.

El problema de TOTP en redes inalámbricas
#

La intuición detrás de querer TOTP en WiFi es razonable: si lo usas en VPN y en aplicaciones web, ¿por qué no en la red inalámbrica? El problema está en cómo funciona el supplicant WiFi.

Errores frecuentes en FreeRADIUS 3.x con PAM: guía de diagnóstico

Thu, 18 Jun 2026 00:00:00 +0000

Configurar FreeRADIUS 3.x con autenticación PAM —especialmente combinando pam_google_authenticator, pam_winbind y fail2ban— genera un conjunto de errores que aparecen una y otra vez. Este artículo los recoge con causa exacta y solución directa, sin rodeos.

Tabla resumen
#

#	Síntoma	Causa raíz	Solución rápida
1	`Failed to change user id to "usuario"`	`user=root` en pam conf, freerad no puede hacer setuid	`user=freerad` + `chown freerad /etc/google-authenticator/`
2	`user not found` / `getpwnam() failed`	Winbind sin idmap RID, los usuarios AD no tienen UID Unix	Añadir bloques `idmap config` en smb.conf + reiniciar winbind
3	`Secret file permissions (0644) are more permissive than 0600`	Permisos demasiado abiertos en el fichero TOTP	`chmod 600 /etc/google-authenticator/*`
4	`Failed to create tempfile: Permission denied`	Directorio TOTP propiedad de root, freerad no puede escribir	`chown freerad:freerad /etc/google-authenticator/`
5	Contraseñas visibles en el log tras desactivarlas	`auth_badpass` requiere reinicio, no reload; `auth_log` loguea independientemente	`systemctl restart freeradius` + revisar módulo `auth_log`
6	`No Auth-Type found: rejecting via Post-Auth-Type = Reject`	El virtual server no fuerza Auth-Type a PAP para rutas PAM	Añadir `update control { &Auth-Type := PAP }` en `authorize`
7	fail2ban no arranca: `Jail 'sshd' is not valid`	`logpath` duplicado en jail.local o jails de servicios inexistentes	`fail2ban-client -t` + eliminar duplicados y jails inactivos

Error 1: `Failed to change user id to "usuario"`
#

Síntoma
#

(0) pam: pam_authenticate: Failed to change user id to "usuario"
(0) pam: ERROR: PAM auth for user "usuario" failed

Causa
#

pam_google_authenticator.so se carga con el parámetro user=root, lo que obliga a PAM a hacer setuid(root) antes de leer el fichero TOTP. El proceso freeradius corre como usuario freerad y no tiene permiso para asumir la identidad de root.

fail2ban para FreeRADIUS y SSH: bloqueo de fuerza bruta en infraestructura de red

Thu, 18 Jun 2026 00:00:00 +0000

Por qué proteger RADIUS con fail2ban
#

FreeRADIUS es el pilar de autenticación en muchas redes empresariales: VPNs, switches con 802.1X, Wi-Fi corporativo. El puerto 1812 UDP recibe constantemente intentos de credential stuffing, especialmente si la IP del servidor tiene alguna exposición pública. A diferencia de SSH, donde el atacante necesita llegar a un servicio TCP con negociación, RADIUS sobre UDP no tiene overhead de conexión: enviar miles de paquetes de autenticación cuesta casi nada al atacante.

FortiBleed 2026: cuando la VPN se convierte en la puerta de entrada

Thu, 18 Jun 2026 00:00:00 +0000

El 7 de junio de 2026 Fortinet confirmó lo que los investigadores de seguridad llevaban semanas documentando: una campaña de compromiso masivo contra dispositivos FortiGate que dejó 75.000 equipos afectados en 194 países. El ataque combinó una vulnerabilidad de autenticación SAML (CVE-2026-24858, CVSS 9.8) con un fallo en cómo FortiOS almacenaba las contraseñas durante el proceso de actualización. El resultado: 1.160 millones de intentos de autenticación en 29 días, credenciales de administrador en manos de actores de amenaza y acceso directo a redes corporativas a través de las mismas VPN diseñadas para protegerlas.

FreeRADIUS + TOTP + Active Directory: doble factor para VPN empresarial desde cero

Thu, 18 Jun 2026 00:00:00 +0000

El problema
#

Un FortiGate configurado con SSL-VPN autenticando contra Active Directory solo pide usuario y contraseña. Si esas credenciales se filtran —un phishing, un password reutilizado, un volcado de NTDS— cualquiera entra a la red corporativa desde internet. El segundo factor elimina ese vector: aunque el atacante tenga la contraseña, sin el código TOTP del momento no pasa.

Rotación de shared secrets RADIUS: proceso coordinado sin cortar el servicio

Thu, 18 Jun 2026 00:00:00 +0000

Por qué rotar el shared secret RADIUS
#

El shared secret RADIUS no es una contraseña de usuario: es la clave que cifra el campo User-Password en cada paquete RADIUS entre el NAS (FortiGate, AP, switch) y el servidor FreeRADIUS. El protocolo PAP transporta la contraseña del usuario XOR-cifrada con un hash MD5 derivado del shared secret y un vector aleatorio del paquete.

Freeradius on Servicios Rogeliowar

EAP-TLS vs PEAP para WiFi empresarial: cuándo usar certificados y por qué TOTP no encaja en 802.1X

El problema de TOTP en redes inalámbricas #

Errores frecuentes en FreeRADIUS 3.x con PAM: guía de diagnóstico

Tabla resumen #

Error 1: Failed to change user id to "usuario" #

Síntoma #

Causa #

fail2ban para FreeRADIUS y SSH: bloqueo de fuerza bruta en infraestructura de red

Por qué proteger RADIUS con fail2ban #

FortiBleed 2026: cuando la VPN se convierte en la puerta de entrada

FreeRADIUS + TOTP + Active Directory: doble factor para VPN empresarial desde cero

El problema #

Rotación de shared secrets RADIUS: proceso coordinado sin cortar el servicio

Por qué rotar el shared secret RADIUS #

El problema de TOTP en redes inalámbricas
#

Tabla resumen
#

Error 1: `Failed to change user id to "usuario"`
#

Síntoma
#

Causa
#

Por qué proteger RADIUS con fail2ban
#

El problema
#

Por qué rotar el shared secret RADIUS
#