Compatibilidad de autenticación de cortafuegos Zyxel con Windows Server 2025

Con los próximos cambios introducidos en Microsoft Windows Server 2025, el soporte de autenticación NTLM ha quedado obsoleto en favor de protocolos de autenticación más modernos y seguros. Como resultado, los métodos de autenticación que dependen de MSCHAPv2, como los utilizados en entornos de Active Directory (AD) y RADIUS, pueden experimentar problemas de compatibilidad al interactuar con dispositivos de cortafuegos Zyxel que ejecuten las versiones de firmware actuales.

Nota: A partir de abril de 2025, Windows Server 2025 sigue siendo compatible con MS-CHAPv2 para la autenticación.
Sin embargo, es importante tener en cuenta que Windows Defender Credential Guard, activado de forma predeterminada en Windows Server 2025, puede interferir con los métodos de autenticación basados en MS-CHAPv2, como PEAP-MSCHAPv2 y EAP-MSCHAPv2.
Esta interferencia puede provocar fallos de autenticación en escenarios como la autenticación de Active Directory (AD) en su cortafuegos Zyxel y la autenticación del servidor RADIUS.

Si estás buscando integrar tu Firewall Zyxel con Windows Server 2025 Active Directory usando LDAPS (puerto TCP 636) en ZLD 5.40 o uOS 1.32, por favor consulta este artículo dedicado:
👉 Zyxel Firewall - Windows Server 2025 Active Directory y Zyxel Firewall ZLD 5.40/uOS 1.32

Nota: Este artículo se centra en los problemas de compatibilidad de autenticación (por ejemplo, MS-CHAPv2, NTLM deprecation) con Windows Server 2025. Si buscas pasos para la integración con AD utilizando LDAPS, consulta el artículo enlazado al final.

Comportamiento observado

Al intentar autenticar usuarios a través de AD o NPS (Network Policy Server) utilizando MSCHAPv2, es posible que los cortafuegos de Zyxel no reciban una respuesta válida, lo que provoca intentos de autenticación fallidos. Este comportamiento se debe a la eliminación de la compatibilidad con NTLM en Windows Server 2025, que es un componente necesario para que MSCHAPv2 funcione.

Solución recomendada por Zyxel

Para garantizar una autenticación de usuario continua e ininterrumpida, Zyxel recomienda la siguiente solución hasta que se introduzca la compatibilidad completa:

• Cree cuentas de usuario locales en el cortafuegos de Zyxel con fines de autenticación.
• Esto evita la dependencia de NTLM, garantizando una experiencia de inicio de sesión sin problemas para los usuarios y manteniendo la seguridad de la red.

Solución alternativa (con precaución)

Solución alternativa 1: Activación de SSL (LDAPS) en el cortafuegos de Zyxel

La esencia de esta solución consiste en utilizar LDAP sobre SSL, que se ajusta a las nuevas políticas de seguridad de Microsoft y sustituye al protocolo NTLM heredado.

Pasos de configuración:

1. Inicie sesión en la interfaz de Zyxel Firewall y navegue a:
   Autenticación > Configuración del servidor > Configuración avanzada
2. Active la opción SSL.

Asegúresede que:

• El controlador de dominio tiene un certificado SSL válido.
• Este certificado está instalado en el almacén Trusted Root Certification Authorities del Firewall.

Riesgos y limitaciones:

• Sin un certificado correctamente instalado y de confianza, el Firewall no podrá conectarse al servidor AD a través de LDAPS.
• Se requiere la gestión manual de certificados: exportación, importación y verificación de la cadena de confianza.

Solución 2: Relajación de la política de seguridad en Windows Server 2025

La segunda solución consiste en modificar la directiva de grupo en el controlador de dominio para permitir el comportamiento inseguro de forma predeterminada. Esto permite al cortafuegos Zyxel conectarse utilizando LDAP estándar (no seguro).

Pasos:

1. Ejecute gpedit.msc en el controlador de dominio de Windows Server 2025.
2. Navegue a:
   Editor de directivas de grupo locales → Configuración del equipo → Configuración de Windows →
   Configuración de seguridad → Directivas locales → Opciones de seguridad →
   Controlador de dominio: Requisitos de firma del servidor LDAP
3. Cambie la configuración de "Cumplimiento" a "Desactivado".

Qué hace esto:

• Permite que el controlador de dominio responda a solicitudes LDAP simples (no cifradas) de clientes como Zyxel Firewall.
• Elude el requisito de utilizar LDAPS.

Riesgos:

• Las contraseñas y otros datos confidenciales se transmiten sin cifrar, lo que es especialmente peligroso en redes públicas o no seguras.
• Abre una vulnerabilidad potencial a los ataques man-in-the-middle.
• Viola las políticas de seguridad recomendadas por Microsoft y puede activar alertas en los sistemas de supervisión.

Conclusión:

Esta es una solución rápida, pero reduce significativamente la seguridad. Utilícela sólo en entornos restringidos y aislados, y reviertala en cuanto disponga de una solución oficial.

Mirando hacia el futuro

En Zyxel, trabajamos activamente para asegurar que nuestras soluciones evolucionan junto con los cambios de la industria. Nuestros equipos están siguiendo de cerca los desarrollos de Microsoft con Windows Server 2025, y ya estamos explorando opciones de integración para soportar los protocolos de seguridad mejorados que introduce.

Aunque las versiones actuales del firmware aún no son compatibles con los métodos de autenticación actualizados, puede estar seguro de que se trata de una prioridad en nuestra hoja de ruta de desarrollo. Nuestros ingenieros están comprometidos a ofrecer una experiencia sin problemas para nuestros clientes, y el apoyo a la autenticación de Windows Server 2025 está bajo revisión activa.

Gracias por seguir confiando en Zyxel. Juntos, estamos construyendo un futuro más seguro y resistente.

Le agradecemos su comprensión y le recomendamos que permanezca conectado a nuestra Comunidad Zyxel y al Portal de Soporte para conocer las últimas noticias y consejos.