Configuración del firewall para el tráfico RADIUS

  • Artículo

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

Los firewalls se pueden configurar para permitir o bloquear tipos de tráfico IP en el equipo o dispositivo en el que se ejecuta el firewall. Si los firewall no se configuran correctamente para permitir el tráfico RADIUS entre clientes RADIUS, proxy RADIUS y servidores RADIUS, pueden producirse errores en la autenticación del acceso a la red e impedir a los usuarios el acceso a los recursos de red.

Es posible que tenga que configurar dos tipos de firewalls para permitir el tráfico RADIUS:

  • Firewall de Windows Defender con Seguridad avanzada en el servidor local que ejecuta el Servidor de directivas de red (NPS).
  • Los firewalls que se ejecuten en otros equipos o dispositivos de hardware

Firewall de Windows en el NPS local

De forma predeterminada, NPS envía y recibe tráfico RADIUS mediante los puertos de Protocolo de datagramas de usuario (UDP) 1812, 1813, 1645 y 1646. El Firewall de Windows Defender en el NPS debe configurarse automáticamente con excepciones, durante la instalación del NPS, para permitir que se envíe y reciba este tráfico RADIUS.

Con Server 2019, esta excepción de firewall requiere una modificación en el identificador de seguridad de la cuenta de servicio para detectar y permitir eficazmente el tráfico RADIUS. Si no se ejecuta este cambio de identificador de seguridad, el firewall quitará el tráfico RADIUS. En un símbolo del sistema con privilegios elevados, ejecute sc sidtype IAS unrestricted. Este comando cambia el servicio IAS (RADIUS) para usar un SID único en lugar de compartirlo con otros servicios de SERVICIO DE RED.

Por lo tanto, si se usan los puertos UDP predeterminados, no es necesario cambiar la configuración de Firewall de Microsoft Defender para permitir el tráfico RADIUS en NPS.

En algunos casos, puede que desee cambiar los puertos que NPS usa para el tráfico RADIUS. Si configura NPS y los servidores de acceso a la red para enviar y recibir tráfico RADIUS en puertos distintos de los predeterminados, debe realizar las siguientes acciones:

  • Quite las excepciones que permiten el paso del tráfico RADIUS en los puertos predeterminados.
  • Cree nuevas excepciones que permitan el paso del tráfico RADIUS en los nuevos puertos.

Para más información, consulte Configuración de la información del puerto UDP de NPS.

Otros firewalls

En la configuración más común, el firewall está conectado a Internet y el NPS es un recurso de intranet que está conectado a la red perimetral.

Para llegar al controlador de dominio dentro de la intranet, el NPS puede tener:

  • Una interfaz en la red perimetral y una interfaz en la intranet (el enrutamiento IP no está habilitado).
  • Una sola interfaz en la red perimetral. En esta configuración, NPS se comunica con los controladores de dominio mediante otro firewall que conecta la red perimetral a la intranet.

Configuración del firewall de Internet

El firewall que esté conectado a Internet debe configurarse con filtros de entrada y salida en su interfaz de Internet (y, opcionalmente, su interfaz de red perimetral) para permitir el reenvío de mensajes RADIUS entre el NPS y los clientes o proxy RADIUS de Internet. Se pueden usar otros filtros para permitir el paso de tráfico a los servidores web, servidores VPN y otros tipos de servidores de la red perimetral.

Se pueden configurar filtros de paquetes de entrada y salida independientes en la interfaz de Internet y la interfaz de la red perimetral.

Configurar filtros de entrada en la interfaz de Internet

Configure los siguientes filtros de paquetes de entrada en la interfaz de Internet del firewall para permitir los siguientes tipos de tráfico:

  • Dirección IP de destino de la interfaz de red perimetral y puerto UDP de destino 1812 (0x714) del NPS. Este filtro permite el tráfico de autenticación RADIUS de los clientes RADIUS basados en Internet al NPS. Este es el puerto UDP predeterminado que usa NPS, tal y como se define en RFC 2865. Si usa un puerto diferente, sustituya ese número de puerto por 1812.
  • Dirección IP de destino de la interfaz de red perimetral y puerto UDP de destino 1813 (0x715) del NPS. Este filtro permite el tráfico de cuentas RADIUS de los clientes RADIUS basados en Internet al NPS. Este es el puerto UDP predeterminado que usa NPS, tal y como se define en RFC 2866. Si usa un puerto diferente, sustituya ese número de puerto por 1813.
  • (Opcional) Dirección IP de destino de la interfaz de red perimetral y puerto UDP de destino 1645 (0x66D) del NPS. Este filtro permite el tráfico de autenticación RADIUS de los clientes RADIUS basados en Internet al NPS. Éste es el puerto UDP que usan los clientes RADIUS antiguos.
  • (Opcional) Dirección IP de destino de la interfaz de red perimetral y puerto UDP de destino 1646 (0x66E) del NPS. Este filtro permite el tráfico de cuentas RADIUS de los clientes RADIUS basados en Internet al NPS. Éste es el puerto UDP que usan los clientes RADIUS antiguos.

Configurar filtros de salida en la interfaz de Internet

Configure los siguientes filtros de salida en la interfaz de Internet del firewall para permitir los siguientes tipos de tráfico:

  • Dirección IP de origen de la interfaz de red perimetral y puerto UDP de origen 1812 (0x714) del NPS. Este filtro permite el tráfico de autenticación RADIUS del NPS a los clientes RADIUS basados en Internet. Este es el puerto UDP predeterminado que usa NPS, tal y como se define en RFC 2865. Si usa un puerto diferente, sustituya ese número de puerto por 1812.
  • Dirección IP de origen de la interfaz de red perimetral y puerto UDP de origen 1813 (0x715) del NPS. Este filtro permite el tráfico de cuentas RADIUS del NPS a los clientes RADIUS basados en Internet. Este es el puerto UDP predeterminado que usa NPS, tal y como se define en RFC 2866. Si usa un puerto diferente, sustituya ese número de puerto por 1813.
  • (Opcional) Dirección IP de origen de la interfaz de red perimetral y puerto UDP de origen 1645 (0x66D) del NPS. Este filtro permite el tráfico de autenticación RADIUS del NPS a los clientes RADIUS basados en Internet. Éste es el puerto UDP que usan los clientes RADIUS antiguos.
  • (Opcional) Dirección IP de origen de la interfaz de red perimetral y puerto UDP de origen 1646 (0x66E) del NPS. Este filtro permite el tráfico de cuentas RADIUS del NPS a los clientes RADIUS basados en Internet. Éste es el puerto UDP que usan los clientes RADIUS antiguos.

Configurar filtros de entrada en la interfaz de red perimetral

Configure los siguientes filtros de entrada en la interfaz de Internet del firewall para permitir los siguientes tipos de tráfico:

  • Dirección IP de origen de la interfaz de red perimetral y puerto UDP de origen 1812 (0x714) del NPS. Este filtro permite el tráfico de autenticación RADIUS del NPS a los clientes RADIUS basados en Internet. Este es el puerto UDP predeterminado que usa NPS, tal y como se define en RFC 2865. Si usa un puerto diferente, sustituya ese número de puerto por 1812.
  • Dirección IP de origen de la interfaz de red perimetral y puerto UDP de origen 1813 (0x715) del NPS. Este filtro permite el tráfico de cuentas RADIUS del NPS a los clientes RADIUS basados en Internet. Este es el puerto UDP predeterminado que usa NPS, tal y como se define en RFC 2866. Si usa un puerto diferente, sustituya ese número de puerto por 1813.
  • (Opcional) Dirección IP de origen de la interfaz de red perimetral y puerto UDP de origen 1645 (0x66D) del NPS. Este filtro permite el tráfico de autenticación RADIUS del NPS a los clientes RADIUS basados en Internet. Éste es el puerto UDP que usan los clientes RADIUS antiguos.
  • (Opcional) Dirección IP de origen de la interfaz de red perimetral y puerto UDP de origen 1646 (0x66E) del NPS. Este filtro permite el tráfico de cuentas RADIUS del NPS a los clientes RADIUS basados en Internet. Éste es el puerto UDP que usan los clientes RADIUS antiguos.

Configurar filtros de salida en la interfaz de red perimetral

Configure los siguientes filtros de paquetes de salida en la interfaz de red perimetral del firewall para permitir los siguientes tipos de tráfico:

  • Dirección IP de destino de la interfaz de red perimetral y puerto UDP de destino 1812 (0x714) del NPS. Este filtro permite el tráfico de autenticación RADIUS de los clientes RADIUS basados en Internet al NPS. Este es el puerto UDP predeterminado que usa NPS, tal y como se define en RFC 2865. Si usa un puerto diferente, sustituya ese número de puerto por 1812.
  • Dirección IP de destino de la interfaz de red perimetral y puerto UDP de destino 1813 (0x715) del NPS. Este filtro permite el tráfico de cuentas RADIUS de los clientes RADIUS basados en Internet al NPS. Este es el puerto UDP predeterminado que usa NPS, tal y como se define en RFC 2866. Si usa un puerto diferente, sustituya ese número de puerto por 1813.
  • (Opcional) Dirección IP de destino de la interfaz de red perimetral y puerto UDP de destino 1645 (0x66D) del NPS. Este filtro permite el tráfico de autenticación RADIUS de los clientes RADIUS basados en Internet al NPS. Éste es el puerto UDP que usan los clientes RADIUS antiguos.
  • (Opcional) Dirección IP de destino de la interfaz de red perimetral y puerto UDP de destino 1646 (0x66E) del NPS. Este filtro permite el tráfico de cuentas RADIUS de los clientes RADIUS basados en Internet al NPS. Éste es el puerto UDP que usan los clientes RADIUS antiguos.

Para obtener mayor seguridad, puede usar las direcciones IP de cada cliente RADIUS que envíe los paquetes a través del firewall para definir filtros de tráfico entre el cliente y la dirección IP del NPS de la red perimetral.

Filtros en la interfaz de red perimetral

Configure los siguientes filtros de paquetes de entrada en la interfaz de red perimetral del firewall de la intranet para permitir los siguientes tipos de tráfico:

  • Dirección IP de origen de la interfaz de red perimetral del NPS. Este filtro permite el tráfico del NPS de la red perimetral.

Configure los siguientes filtros de salida en la interfaz de la red perimetral del firewall de la intranet para permitir los siguientes tipos de tráfico:

  • Dirección IP de destino de la interfaz de red perimetral del NPS. Este filtro permite el tráfico al NPS de la red perimetral.

Filtros en la interfaz de la intranet

Configure los siguientes filtros de entrada en la interfaz de intranet del firewall para permitir los siguientes tipos de tráfico:

  • Dirección IP de destino de la interfaz de red perimetral del NPS. Este filtro permite el tráfico al NPS de la red perimetral.

Configure los siguientes filtros de paquetes de salida en la interfaz de intranet del firewall para permitir los siguientes tipos de tráfico:

  • Dirección IP de origen de la interfaz de red perimetral del NPS. Este filtro permite el tráfico del NPS de la red perimetral.

Para más información sobre la administración de NPS, consulte Administrar el servidor de directivas de redes.

Para más información sobre NPS, consulte Servidor de directivas de redes (NPS).