Radius on Servicios Rogeliowarhttps://blog.serviciosrogeliowar.com/tags/radius/Recent content in Radius on Servicios RogeliowarHugo -- gohugo.ioes© 2026 Rogelio Guerra RiverónThu, 18 Jun 2026 00:00:00 +0000FortiBleed 2026: cuando la VPN se convierte en la puerta de entradahttps://blog.serviciosrogeliowar.com/posts/fortibleed-fortigate-freeradius-mfa-hardening/Thu, 18 Jun 2026 00:00:00 +0000https://blog.serviciosrogeliowar.com/posts/fortibleed-fortigate-freeradius-mfa-hardening/<p>El 7 de junio de 2026 Fortinet confirmó lo que los investigadores de seguridad llevaban semanas documentando: una campaña de compromiso masivo contra dispositivos FortiGate que dejó 75.000 equipos afectados en 194 países. El ataque combinó una vulnerabilidad de autenticación SAML (CVE-2026-24858, CVSS 9.8) con un fallo en cómo FortiOS almacenaba las contraseñas durante el proceso de actualización. El resultado: 1.160 millones de intentos de autenticación en 29 días, credenciales de administrador en manos de actores de amenaza y acceso directo a redes corporativas a través de las mismas VPN diseñadas para protegerlas.</p>FreeRADIUS + TOTP + Active Directory: doble factor para VPN empresarial desde cerohttps://blog.serviciosrogeliowar.com/posts/freeradius-totp-active-directory-mfa-vpn-empresarial/Thu, 18 Jun 2026 00:00:00 +0000https://blog.serviciosrogeliowar.com/posts/freeradius-totp-active-directory-mfa-vpn-empresarial/<h2 class="relative group">El problema <div id="el-problema" class="anchor"></div> <span class="absolute top-0 w-6 transition-opacity opacity-0 -start-6 not-prose group-hover:opacity-100 select-none"> <a class="text-primary-300 dark:text-neutral-700 !no-underline" href="#el-problema" aria-label="Ancla">#</a> </span> </h2> <p>Un FortiGate configurado con SSL-VPN autenticando contra Active Directory solo pide usuario y contraseña. Si esas credenciales se filtran —un phishing, un password reutilizado, un volcado de NTDS— cualquiera entra a la red corporativa desde internet. El segundo factor elimina ese vector: aunque el atacante tenga la contraseña, sin el código TOTP del momento no pasa.</p>Rotación de shared secrets RADIUS: proceso coordinado sin cortar el serviciohttps://blog.serviciosrogeliowar.com/posts/rotacion-shared-secrets-radius-sin-corte-servicio/Thu, 18 Jun 2026 00:00:00 +0000https://blog.serviciosrogeliowar.com/posts/rotacion-shared-secrets-radius-sin-corte-servicio/<h2 class="relative group">Por qué rotar el shared secret RADIUS <div id="por-qué-rotar-el-shared-secret-radius" class="anchor"></div> <span class="absolute top-0 w-6 transition-opacity opacity-0 -start-6 not-prose group-hover:opacity-100 select-none"> <a class="text-primary-300 dark:text-neutral-700 !no-underline" href="#por-qu%c3%a9-rotar-el-shared-secret-radius" aria-label="Ancla">#</a> </span> </h2> <p>El shared secret RADIUS no es una contraseña de usuario: es la clave que cifra el campo <code>User-Password</code> en cada paquete RADIUS entre el NAS (FortiGate, AP, switch) y el servidor FreeRADIUS. El protocolo PAP transporta la contraseña del usuario XOR-cifrada con un hash MD5 derivado del shared secret y un vector aleatorio del paquete.</p>