Saltar al contenido principal

Automatización de la seguridad WiFi empresarial: Guía de despliegue de certificados SCEP

Esta guía técnica explica cómo automatizar la seguridad WiFi empresarial mediante el despliegue de certificados SCEP. Proporciona un diseño de arquitectura detallado y los pasos de implementación para desplegar la autenticación 802.1X EAP-TLS en redes corporativas y de invitados.

📖 5 min de lectura📝 1,248 palabras🔧 2 ejemplos prácticos3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
Bienvenido a esta sesión técnica. Estoy aquí para guiarle a través de nuestra última guía: Automatización de la seguridad WiFi empresarial, centrándonos específicamente en el despliegue de certificados SCEP. Si gestiona redes para hoteles, cadenas de retail o espacios públicos, ya sabe que depender de claves precompartidas o de simples Captive Portals para el acceso del personal es una vulnerabilidad de seguridad enorme. Hoy vamos a hablar del estándar de oro: la autenticación 802.1X utilizando EAP-TLS. Analicemos la arquitectura. El principal desafío con EAP-TLS no es el protocolo en sí; es la logística de instalar certificados de cliente únicos en miles de dispositivos - ya sean portátiles Windows, iPads o tabletas de punto de venta. Aquí es donde entran en juego las plataformas de gestión de dispositivos móviles, o MDM, como Microsoft Intune o Jamf. Pero, ¿cómo se entregan esos certificados de forma segura? Por lo general, tiene dos opciones: PKCS o SCEP. Permítame ser absolutamente claro en esto: para la autenticación WiFi, lo que quiere es SCEP. Ese es el protocolo simple de inscripción de certificados. He aquí por qué es importante. Con SCEP, el MDM indica al dispositivo final que genere su propia clave privada localmente. Esa clave permanece bloqueada en el hardware seguro del dispositivo. Nunca viaja por la red. El dispositivo simplemente envía una solicitud de firma de certificado a su entidad de certificación a través de una pasarela, que suele ser un servidor NDES. Contraste eso con PKCS, donde la entidad de certificación genera la clave privada de forma centralizada y la envía a través de la red al dispositivo. Aunque PKCS tiene su utilidad - por ejemplo, para el cifrado de correo electrónico donde se necesita el depósito de claves - transmitir claves privadas a través de la red es un riesgo que simplemente no necesita asumir para la autenticación de red. Mantenga las claves en el dispositivo. Utilice SCEP. Ahora, hablemos de la implementación. Si tuviera que quedarse con una sola cosa de esta sesión, es esta regla general: confianza antes que autenticación. No puede limitarse a enviar un perfil de WiFi y esperar que funcione. Hay una secuencia de despliegue estricta de tres pasos que debe seguir. Paso uno: Desplegar el certificado raíz de confianza. Antes de que un dispositivo pueda solicitar un certificado de cliente, o confiar en su servidor RADIUS, debe confiar en la entidad de certificación emisora. Envíe este perfil primero. Paso dos: Configurar y enviar el perfil de certificado SCEP. Esto le indica al dispositivo cómo comunicarse con la pasarela SCEP, qué formato utilizar para su nombre de sujeto y para qué sirve realmente el certificado - en este caso, la autenticación de cliente. Debe vincular este perfil a la raíz de confianza que desplegó en el paso uno. Paso tres: Desplegar el perfil de WiFi 802.1X. Aquí es donde se une todo. Especifique el SSID, seleccione WPA3-Enterprise, establezca el tipo de EAP en EAP-TLS y apunte al certificado SCEP para la autenticación de cliente. Aquí hay un gran error que vemos constantemente. Un cliente nos llama y nos dice: "Los certificados están en el dispositivo, pero el perfil de WiFi muestra un error en Intune". Casi siempre se trata de una discrepancia en la asignación de grupos. Si asignas el perfil SCEP a un grupo de "Usuarios", pero asignas el perfil de WiFi a un grupo de "Dispositivos", el MDM no puede resolver la dependencia. Haz coincidir tus destinatarios exactamente en los tres perfiles. Analicemos un escenario del mundo real. Imagina un hotel de 200 habitaciones. Tienen 150 dispositivos iOS gestionados para el personal de limpieza. Actualmente, utilizan una red con contraseña estándar y el personal no deja de compartirla con los huéspedes. Es una pesadilla. Al migrar a WPA2-Enterprise con EAP-TLS a través de SCEP, el Director de TI elimina la contraseña por completo. Los dispositivos iOS se autentican de forma silenciosa en segundo plano utilizando sus certificados. ¿Pero qué pasa si un miembro del personal de limpieza pierde un dispositivo o deja la empresa? Desactivar su cuenta de Active Directory no es suficiente, porque el certificado de ese dispositivo sigue siendo criptográficamente válido. Esto nos lleva a un control de seguridad crítico: la comprobación estricta de la CRL. Debes configurar tu servidor RADIUS para que verifique la Lista de Revocación de Certificados. Si se pierde un dispositivo, revocas el certificado en la CA. El servidor RADIUS detecta la revocación en la CRL y bloquea inmediatamente el acceso a la red. Sin una comprobación estricta de la CRL, tu postura de seguridad estará incompleta. Para terminar, la transición al despliegue automatizado de certificados SCEP ofrece un retorno de la inversión masivo. Verás una reducción de entre el 70 y el 80 por ciento en los tickets de soporte relacionados con el WiFi porque los usuarios ya no se quedan fuera de la red ni escriben mal las contraseñas. Y lo que es más importante, eliminas el riesgo de robo de credenciales, garantizando el cumplimiento de marcos normativos como PCI-DSS y GDPR. Automatizar la seguridad WiFi empresarial no consiste solo en cerrar accesos; se trata de hacer que el camino seguro sea el más sencillo para tus usuarios. Gracias por escucharnos y asegúrate de consultar la guía escrita completa para conocer todos los detalles de configuración paso a paso.

header_image.png

Resumen Ejecutivo

Para las empresas de los sectores de hostelería, retail y el sector público, depender de claves compartidas previamente o de un Captive Portal básico para el acceso a la red introduce graves vulnerabilidades de seguridad. La arquitectura de red moderna exige una autenticación 802.1X utilizando EAP-TLS, lo que garantiza que cada dispositivo se verifique mediante criptografía antes de acceder a la red. Para los responsables de TI y los arquitectos de red, el reto consiste en implementar de forma eficiente certificados de cliente únicos en miles de dispositivos Windows, iOS y Android.

Esta guía proporciona el diseño arquitectónico definitivo y la estrategia de implementación paso a paso para la distribución automatizada de certificados WiFi mediante el Protocolo Simple de Inscripción de Certificados (SCEP). Al integrar su plataforma de gestión de dispositivos móviles (MDM) con una pasarela SCEP y una Autoridad de Certificación (CA), puede enviar de forma silenciosa certificados raíz y de cliente de confianza a los endpoints gestionados. Analizamos las diferencias críticas entre SCEP y PKCS, detallamos la secuencia precisa de pasos necesarios para una implementación exitosa y describimos estrategias prácticas de mitigación de riesgos para mantener su red WiFi segura y con un rendimiento óptimo.

Escuche el podcast informativo complementario:

Análisis Técnico Detallado: Arquitectura SCEP y EAP-TLS

Al diseñar una estrategia de implementación de certificados WiFi para empresas, la decisión arquitectónica fundamental es cómo se entregan los certificados de forma segura. El estándar del sector para este proceso es SCEP. SCEP automatiza el proceso de inscripción de certificados, lo que permite a los dispositivos solicitar certificados de forma segura a una Autoridad de Certificación mediante un protocolo estandarizado.

Las Ventajas de SCEP frente a PKCS

Aunque plataformas como Microsoft Intune admiten tanto SCEP como los Estándares de Criptografía de Clave Pública (PKCS), sus mecanismos de funcionamiento son fundamentalmente diferentes. En el flujo de trabajo de SCEP, el servicio MDM indica al endpoint que genere su propio par de claves pública y privada. A continuación, el dispositivo crea una Solicitud de Firma de Certificado (CSR) y la envía a su CA a través de un servidor de Servicio de Inscripción de Dispositivos de Red (NDES). La CA firma la solicitud y devuelve el certificado de clave pública al dispositivo.

La principal ventaja de seguridad de SCEP es que la clave privada nunca sale del dispositivo. Se genera localmente y se almacena en el enclave seguro del dispositivo. Esto hace de SCEP el método más recomendado para la autenticación 802.1X. Por el contrario, con PKCS, la CA genera ambas claves de forma centralizada y las transmite a través de la red. PKCS se adapta mejor a los casos de uso que requieren el depósito de claves (como el cifrado de correo electrónico S/MIME) en lugar de la autenticación de red.

scep_vs_pkcs_comparison.png

Autenticación 802.1X y EAP-TLS

El estándar IEEE 802.1X proporciona el marco para la gestión centralizada del acceso a la red. Define cómo se transportan los paquetes del Protocolo de Autenticación Extensible (EAP) sobre la LAN (EAPoL) para permitir la autenticación entre el cliente, el punto de acceso y el servidor de autenticación - habitualmente un servidor RADIUS.

EAP-TLS es el protocolo de autenticación más seguro para redes 802.1X. Requiere autenticación mutua: el cliente valida el certificado del servidor RADIUS y el servidor RADIUS valida el certificado del cliente. Este riguroso proceso de validación garantiza que solo los usuarios autenticados y autorizados en los dispositivos registrados obtengan acceso, protegiendo la red contra amenazas como los ataques Evil Twin.

Guía de implementación: La secuencia de despliegue

Configurar con éxito el despliegue automatizado de certificados para 802.1X requiere el cumplimiento estricto de una secuencia específica. Las dependencias del perfil dictan que la confianza debe establecerse antes de configurar la autenticación. Esto se aplica tanto si utiliza Microsoft Intune, Jamf u otra plataforma MDM.

Paso 1: Desplegar el certificado raíz de confianza

Antes de que cualquier dispositivo pueda solicitar un certificado de cliente o confiar en su servidor RADIUS, debe confiar en la autoridad de certificación (CA) que emite los certificados.

  1. Exporte el certificado de su CA raíz y cualquier certificado de CA intermedia.
  2. En su plataforma MDM, cree un perfil de certificado de confianza.
  3. Suba los archivos de certificado y despliegue este perfil en sus grupos de dispositivos de destino.

Paso 2: Configurar el perfil de certificado SCEP

Una vez establecida la confianza, configure el perfil SCEP para indicar a los dispositivos cómo obtener sus certificados de cliente.

  1. Cree un nuevo perfil de configuración de certificado SCEP.
  2. Configure el formato del nombre de sujeto. Para la autenticación basada en el usuario, utilice el User Principal Name (UPN). Para la autenticación de dispositivos, utilice el ID del dispositivo.
  3. Establezca el uso de la clave para firma digital y cifrado de clave.
  4. Especifique la autenticación de cliente para el uso extendido de la clave.
  5. Vincule este perfil al perfil de certificado raíz de confianza creado en el Paso 1.
  6. Proporcione la URL externa de su pasarela SCEP o servidor NDES.

Paso 3: Desplegar el perfil WiFi 802.1X

El paso final consiste en enviar la configuración de WiFi que vincula el certificado al SSID de la red.

  1. Cree un perfil de configuración de WiFi.
  2. Introduzca el SSID exactamente como lo transmiten sus puntos de acceso.
  3. Seleccione WPA2-Enterprise o WPA3-Enterprise como tipo de seguridad.
  4. Establezca el tipo de EAP en EAP-TLS.
  5. Seleccione el perfil de certificado SCEP creado en el Paso 2 para la autenticación de clientes.
  6. Especifique el certificado raíz de confianza para la validación del servidor, asegurándose de que los dispositivos solo se conecten a su servidor RADIUS legítimo.

scep_architecture_overview.png

Mejores prácticas para entornos empresariales

Al implementar el despliegue de certificados SCEP, siga estas mejores prácticas independientes del proveedor para garantizar la conformidad y la fiabilidad.

Proteger la pasarela SCEP

La pasarela SCEP o el servidor NDES deben estar accesibles desde Internet para que los dispositivos remotos puedan aprovisionar certificados antes de llegar a las instalaciones. Sin embargo, exponer un servidor interno directamente a Internet presenta un riesgo de seguridad significativo. Publique la URL utilizando un proxy de aplicaciones. Esto proporciona un acceso remoto seguro sin abrir puertos de entrada en el cortafuegos y le permite aplicar políticas de acceso condicional al flujo de inscripción.

Aplicar una verificación estricta de CRL

El despliegue de certificados es solo la mitad de la ecuación de seguridad; la revocación es igualmente crítica. Si un empleado se marcha, desactivar su cuenta de directorio puede no revocar inmediatamente su acceso a la WiFi si su certificado de cliente sigue siendo válido. Configure su servidor RADIUS para aplicar una verificación estricta de la Lista de Revocación de Certificados (CRL). Asegúrese de que sus puntos de distribución de CRL tengan una alta disponibilidad; si el servidor RADIUS no puede acceder a la CRL, la autenticación fallará, lo que provocará una interrupción generalizada del servicio.

Integración de hardware

Asegúrese de que su infraestructura de red admita los protocolos requeridos. Purple se integra a la perfección con el hardware de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet. Configure estos sistemas para redirigir las solicitudes de autenticación a su infraestructura RADIUS centralizada.

Resolución de problemas y mitigación de riesgos

Incluso con una planificación cuidadosa, los despliegues de certificados pueden experimentar problemas. A continuación se presentan los fallos más comunes y las estrategias de mitigación.

Fallos de dependencia

Un problema común es que un dispositivo reciba el certificado raíz de confianza y SCEP, pero el perfil de WiFi no se aplique. Esto casi siempre se debe a una falta de coincidencia en la asignación de grupos dentro del MDM. Si el perfil SCEP está asignado a un grupo de usuarios mientras que el perfil de WiFi está asignado a un grupo de dispositivos, el MDM no podrá resolver la dependencia. Audite sus asignaciones y asegúrese de que todos los perfiles relacionados se desplieguen exactamente en los mismos grupos de directorio.

Errores de inscripción

Si los dispositivos no logran recuperar los certificados SCEP y los registros de la puerta de enlace muestran errores HTTP 403, es posible que la cuenta de servicio no tenga los permisos necesarios en la plantilla de certificado, o que el filtrado de URL en el firewall esté bloqueando los parámetros específicos de la cadena de consulta que utiliza SCEP. Verifique que la cuenta del conector tenga permisos de lectura y de inscripción en la plantilla de la CA, y revise los registros del firewall para asegurarse de que la URL de SCEP no esté bloqueada.

Impacto empresarial y ROI

La transición a una implementación automatizada de certificados 802.1X ofrece un retorno de la inversión cuantificable tanto en seguridad como en operaciones.

El WiFi basado en contraseñas genera un gran volumen de tickets de soporte debido a la expiración de contraseñas, bloqueos de cuentas y errores de escritura. La autenticación basada en certificados es invisible para el usuario y, por lo general, reduce el volumen de tickets de la mesa de ayuda relacionados con WiFi entre un 70% y un 80%.

Además, EAP-TLS elimina el riesgo de robo de credenciales y de ataques de intermediario (man-in-the-middle). Esto es fundamental para el cumplimiento de marcos normativos como PCI-DSS y GDPR. Para operaciones de retail multisitio o grandes cadenas hoteleras, la automatización de este proceso garantiza una experiencia de aprovisionamiento uniforme y sin intervención desde el primer día, protegiendo el perímetro de la red a la vez que se reduce significativamente la carga operativa.

Definiciones clave

SCEP

Simple Certificate Enrolment Protocol. Un protocolo que automatiza el proceso de solicitud e instalación de certificados digitales en dispositivos, donde la clave privada se genera localmente.

El método recomendado para desplegar certificados de autenticación WiFi a escala a través de plataformas MDM.

PKCS

Public Key Cryptography Standards. Un método de despliegue en el que la Autoridad de Certificación genera tanto la clave pública como la privada y las transmite al dispositivo final.

A menudo utilizado para el cifrado de correo electrónico S/MIME, pero menos idóneo para WiFi debido a la transmisión de la clave privada a través de la red.

802.1X

Un estándar IEEE para el control de acceso a redes basado en puertos que proporciona un mecanismo de autenticación para los dispositivos que desean conectarse a una LAN o WLAN.

La línea base obligatoria para la seguridad WiFi empresarial, que sustituye a las vulnerables claves precompartidas.

EAP-TLS

Extensible Authentication Protocol - Transport Layer Security. Un protocolo de autenticación que requiere que tanto el cliente como el servidor presenten certificados digitales válidos.

Considerado el método de autenticación más seguro para redes 802.1X, eliminando las vulnerabilidades basadas en contraseñas.

NDES

Network Device Enrolment Service. Un rol de servidor que actúa como pasarela, permitiendo que los dispositivos sin credenciales de dominio obtengan certificados a través de SCEP.

Un componente de infraestructura necesario al implementar el despliegue de certificados SCEP con Microsoft Intune.

RADIUS

Remote Authentication Dial-In User Service. Un protocolo de red que proporciona una gestión centralizada de la autenticación, autorización y contabilidad.

El servidor que valida los certificados de cliente contra el directorio y concede acceso a la red.

CRL

Certificate Revocation List. Una lista publicada por la Autoridad de Certificación que contiene los números de serie de los certificados que han sido revocados.

Los servidores RADIUS deben comprobar la CRL para asegurarse de que el certificado presentado sigue siendo válido y no ha sido comprometido.

CSR

Certificate Signing Request. Un bloque de texto codificado que se entrega a una Autoridad de Certificación al solicitar un certificado SSL/TLS.

Generado por el dispositivo durante el proceso de inscripción SCEP para solicitar un certificado firmado.

Ejemplos prácticos

Un hotel de 200 habitaciones necesita desplegar una red WiFi segura para el personal en 150 dispositivos iOS gestionados que utiliza el equipo de limpieza y mantenimiento. Actualmente utilizan una red WPA2-PSK, pero el personal sigue compartiendo la contraseña con los huéspedes. ¿Cómo debería implementar el Director de TI una solución segura y automatizada?

El Director de TI debe migrar la red WiFi del personal a WPA2-Enterprise utilizando autenticación 802.1X EAP-TLS. Debe configurar su MDM (por ejemplo, Jamf) para enviar una carga útil SCEP a los dispositivos iOS. La secuencia de despliegue es: 1) Enviar el certificado de la CA raíz para que los dispositivos confíen en la red. 2) Enviar el perfil SCEP, indicando a los dispositivos que soliciten un certificado de cliente a la CA a través de la pasarela SCEP. 3) Enviar el perfil WiFi configurado para WPA2-Enterprise y EAP-TLS, vinculándolo al certificado SCEP. Los puntos de acceso de la red (por ejemplo, HPE Aruba) se configuran para autenticar a los clientes contra un servidor RADIUS central. Cuando el personal llega, sus dispositivos se autentican automáticamente utilizando el certificado, sin necesidad de contraseña.

Comentario del examinador: Este enfoque elimina por completo la vulnerabilidad de las contraseñas compartidas. Al utilizar SCEP y EAP-TLS, el hotel garantiza que solo los dispositivos gestionados y autorizados puedan acceder a la red WiFi del personal. Las claves privadas permanecen seguras en los dispositivos iOS y, si se pierde un dispositivo o un empleado se marcha, el certificado se puede revocar de forma centralizada a través de la CRL, interrumpiendo inmediatamente el acceso a la red.

Una cadena de tiendas está implementando nuevas tabletas de punto de venta (POS) en 50 ubicaciones. Para cumplir con los requisitos PCI-DSS, las tabletas deben conectarse a una red inalámbrica segura. El arquitecto de red planea utilizar Microsoft Intune para el despliegue. ¿Qué opciones de arquitectura garantizan el cumplimiento y la seguridad?

Para cumplir con los requisitos de PCI-DSS sobre criptografía y autenticación robustas, el arquitecto debe desplegar 802.1X EAP-TLS. Utilizando Microsoft Intune, debe seleccionar SCEP en lugar de PKCS para el despliegue de certificados. Esto garantiza que la clave privada se genere en el TPM de la tableta POS y nunca se transmita por la red. Debe configurar un servidor NDES publicado de forma segura a través de Azure AD Application Proxy. Finalmente, debe configurar el servidor RADIUS para aplicar una verificación estricta de CRL, garantizando que, si una tableta POS se ve comprometida, su certificado pueda revocarse y el acceso a la red se bloquee de inmediato.

Comentario del examinador: La elección de SCEP sobre PKCS es la decisión crítica en este caso para el cumplimiento de PCI-DSS, ya que evita la transmisión de la clave privada. La publicación del servidor NDES a través de un proxy de aplicaciones protege la infraestructura de registro. La verificación estricta de CRL es obligatoria; sin ella, un certificado revocado aún podría permitir que un dispositivo comprometido acceda a la red de pago.

Preguntas de práctica

Q1. Está desplegando una nueva red WiFi 802.1X para un campus corporativo utilizando Microsoft Intune. Ha configurado el perfil de Raíz de Confianza, el perfil SCEP y el perfil WiFi. Sin embargo, durante las pruebas, los dispositivos reciben los certificados pero el perfil WiFi se muestra como "Error" en la consola de Intune. ¿Cuál es la causa más probable?

Sugerencia: Considere cómo el MDM resuelve las dependencias entre los perfiles.

Ver respuesta modelo

La causa más probable es un desajuste en la asignación de grupos. Intune requiere que los perfiles dependientes se asignen exactamente al mismo grupo de Azure AD. Si el perfil SCEP se asigna a un grupo de Usuarios y el perfil WiFi se asigna a un grupo de Dispositivos, Intune no puede resolver la dependencia, lo que genera un error.

Q2. Una empresa de venta al por menor desea automatizar el despliegue de certificados para las tabletas de los encargados de sus tiendas. Están debatiendo si utilizar SCEP o PKCS. Su principal preocupación es la seguridad, específicamente la protección de las claves privadas. ¿Qué protocolo deberían elegir y por qué?

Sugerencia: Piense en dónde se genera la clave privada en cada protocolo.

Ver respuesta modelo

Deberían elegir SCEP. En un flujo de trabajo SCEP, la clave privada se genera localmente en la tableta y se almacena en su enclave seguro; nunca sale del dispositivo. Con PKCS, la Autoridad de Certificación genera la clave privada y la transmite a través de la red al dispositivo, lo que introduce una vulnerabilidad de seguridad potencial.

Q3. Un empleado deja la empresa y se desactiva su cuenta de Active Directory. Sin embargo, el equipo de TI observa que el dispositivo del empleado sigue conectado a la red WiFi corporativa. La red utiliza autenticación EAP-TLS. ¿Qué configuración falta en el servidor RADIUS?

Sugerencia: Desactivar una cuenta no invalida automáticamente un certificado emitido previamente.

Ver respuesta modelo

Al servidor RADIUS le falta la comprobación estricta de la Lista de Revocación de Certificados (CRL). Aunque la cuenta del directorio esté desactivada, el certificado del cliente sigue siendo criptográficamente válido hasta que caduque o sea revocado explícitamente. El servidor RADIUS debe estar configurado para comprobar la CRL para garantizar que se deniegue el acceso a la red a los certificados revocados.

Continúe leyendo esta serie

Cómo segregar de forma segura las redes WiFi de empleados y de invitados

Esta guía técnica autorizada proporciona a los responsables de TI estrategias prácticas para segregar de forma segura las redes WiFi de empleados, invitados e IoT utilizando VLANs y 802.1X. Detalla cómo proteger la infraestructura empresarial, mantener el cumplimiento de PCI-DSS y aprovechar los Captive Portals para capturar datos de origen.

Leer la guía →

La mejor filtración DNS: una guía completa para empresas

Esta guía de referencia técnica explica cómo la filtración DNS empresarial protege las redes públicas al bloquear dominios maliciosos en la capa de resolución - antes de que se establezca una conexión. Proporciona a los directores de TI, arquitectos de redes y equipos de operaciones de las instalaciones la arquitectura de despliegue, la configuración del firewall y el contexto de cumplimiento normativo que necesitan para proteger el WiFi de invitados en entornos de hostelería, comercio minorista y sector público. Purple Shield bloquea el malware, las botnets y el contenido inapropiado a nivel de DNS en más de 80.000 instalaciones activas.

Leer la guía →

Comprensión de Cisco SUDI: Identidad con Anclaje por Hardware en el Control de Acceso Seguro a la Red

Esta guía explica cómo Cisco SUDI proporciona una identidad con anclaje por hardware y criptográficamente segura para la infraestructura de red empresarial. Aprenda a sustituir las direcciones MAC suplantables por certificados 802.1AR inmutables para proteger el control de acceso a la red de su recinto.

Leer la guía →