Evaluación de la postura del NAC: Garantizar el cumplimiento de los dispositivos gestionados antes del acceso a la red

Te damos la bienvenida a la serie de sesiones técnicas de Purple. Hoy vamos a profundizar en una de las áreas más críticas a nivel operativo —y que con más frecuencia se malinterpreta— de la seguridad de red empresarial: la evaluación de postura de NAC, y concretamente cómo garantizar que solo los dispositivos gestionados y conformes accedan a tu red antes incluso de haber enviado un único paquete de tráfico de producción. Si eres responsable de TI, arquitecto de redes o CTO a cargo de una infraestructura multisitio (ya sea un grupo hotelero, una cadena de retail, un estadio o una organización del sector público), esto es directamente relevante para tu postura de seguridad actual. Vamos a cubrir la arquitectura, los estándares, los patrones de implementación en el mundo real y los errores comunes que atrapan incluso a los equipos más experimentados. Comencemos. Entonces, ¿qué es exactamente la evaluación de postura de NAC? El control de acceso a la red, o NAC, es el marco general que rige qué dispositivos pueden conectarse a tu red y bajo qué condiciones. La evaluación de postura es el mecanismo específico dentro de NAC que interroga el estado de seguridad de un dispositivo antes —o inmediatamente después— de que se conecte. Imagínalo como un control de salud en la puerta. El dispositivo no solo tiene que demostrar quién es; tiene que demostrar que está en un estado apto para ser de confianza. La arquitectura aquí consta de tres componentes principales. Primero, tienes el Punto de Aplicación de Políticas (PEP). Este suele ser tu punto de acceso, tu switch o tu controlador inalámbrico. Es el guardián que controla físicamente si fluye el tráfico. Segundo, tienes el Punto de Decisión de Políticas (PDP). Este es tu motor de NAC, a menudo integrado con un servidor RADIUS o AAA. Recibe los datos de postura, los evalúa frente a tu política y le dice al PEP qué hacer. Tercero, tienes el propio Motor de Evaluación de Postura, que es un agente que se ejecuta en el endpoint o un mecanismo sin agente que utiliza protocolos como SNMP, WMI o SSH para consultar el dispositivo de forma remota. Ahora bien, la capa de autenticación que sustenta todo esto es IEEE 802.1X. Este es el estándar de control de acceso a la red basado en puertos que existe desde 2001, pero que sigue siendo la columna vertebral de NAC empresarial hoy en día. 802.1X define tres roles: el suplicante (el dispositivo que intenta conectarse), el autenticador (tu switch o punto de acceso) y el servidor de autenticación (tu servidor RADIUS). El suplicante y el servidor de autenticación se comunican a través de EAP (el protocolo de autenticación extensible), tunelizado a través del autenticador. EAP-TLS, que utiliza autenticación mutua basada en certificados, es el estándar de oro aquí. Es lo que deberías implementar si te tomas en serio la conformidad de los dispositivos gestionados. ¿Qué examina exactamente la comprobación de estado? Existen seis categorías principales. Nivel de parches del sistema operativo: ¿el dispositivo ejecuta una versión de sistema operativo compatible y se aplican los parches críticos dentro del periodo definido? Estado de seguridad del endpoint: ¿está instalado, activo y con las definiciones actualizadas un agente AV o EDR aprobado? Estado del firewall: ¿está habilitado el firewall del host y su política intacta? Cifrado de disco: ¿está activo y no suspendido el cifrado de disco completo? Validez del certificado: ¿dispone el dispositivo de un certificado de máquina válido y de confianza emitido por su PKI? Y, por último, conformidad de la configuración: ¿coincide la configuración de seguridad del dispositivo con su línea base definida? En función del resultado de estas comprobaciones, el motor de políticas de su NAC asigna uno de estos tres estados. Cumplidor: el dispositivo supera todas las comprobaciones requeridas y recibe acceso total a la red, normalmente a su VLAN o rol asignado. Condicional: el dispositivo supera las comprobaciones críticas pero falla en una o más comprobaciones no críticas; obtiene acceso limitado, quizás solo a internet, con una notificación al usuario. Y No Cumplidor: el dispositivo falla en una comprobación crítica y se le ubica en una VLAN de cuarentena con acceso únicamente a un portal de corrección. Ese portal de corrección es el lugar donde el dispositivo puede descargar parches, actualizar definiciones de AV o recibir instrucciones para la corrección manual. Ahora bien, ¿dónde encaja WPA3 en todo esto? WPA3-Enterprise, concretamente con el modo de 192 bits, refuerza la capa criptográfica que subyace a 802.1X. Exige GCMP-256 para el cifrado y HMAC-SHA-384 para la integridad, lo que resulta especialmente relevante para entornos que manejan datos de tarjetas de pago o datos personales sensibles bajo la normativa GDPR. Si gestiona un entorno de retail dentro del alcance de PCI DSS, o un centro sanitario bajo los requisitos de gobernanza de datos del NHS, WPA3-Enterprise debería estar en su hoja de ruta para nuevos despliegues. Hablemos de la evaluación de estado basada en agentes frente a la evaluación sin agentes, ya que este es un verdadero punto de decisión arquitectónica. La evaluación basada en agentes, en la que se ejecuta un cliente ligero en el endpoint, ofrece la visibilidad más profunda. Permite consultar claves de registro, procesos en ejecución, software instalado y el estado de seguridad en tiempo real. La contrapartida es la sobrecarga de despliegue: se necesita un MDM o una plataforma de gestión de endpoints para distribuir y mantener el agente en toda su infraestructura. La evaluación sin agentes utiliza una interrogación basada en red: SNMP, WMI a través de la red o llamadas API a su plataforma MDM. Es más fácil de desplegar pero ofrece una visibilidad menor y es más susceptible a la evasión. Para una infraestructura corporativa gestionada, la opción basada en agentes es la respuesta correcta. Para entornos donde dispone de una combinación de dispositivos gestionados y no gestionados (piense en un centro de conferencias o en la red interna de un hotel), un enfoque híbrido tiene más sentido. Otro punto de arquitectura que vale la pena destacar: la evaluación continua de la postura frente a la evaluación en un momento puntual. La mayoría de las implementaciones de NAC heredadas solo comprueban la postura en el momento de la conexión. Eso es una brecha importante. Un dispositivo que cumplía con las directivas a las nueve de la mañana cuando se conectó podría tener su antivirus desactivado por un usuario a las once. Las plataformas NAC modernas admiten la evaluación continua (revaluando la postura a intervalos definidos o en respuesta a eventos) y cambiando dinámicamente el nivel de acceso a la red del dispositivo sin necesidad de volver a conectarse. Esta es la dirección en la que debería avanzar. Bien, pasemos a la práctica. Al implementar la evaluación de la postura de NAC, el fallo más común que veo es pasar directamente al modo de aplicación. No lo haga. Comience en modo de monitorización, a veces llamado modo de auditoría o modo de visibilidad. Ejecute sus comprobaciones de postura, registre los resultados, pero no aplique la política. Ejecute esto durante al menos dos a cuatro semanas. Es casi seguro que descubrirá dispositivos que no sabía que existían en su red, y descubrirá que una proporción significativa de sus dispositivos conocidos fallan en una o más comprobaciones de postura. Utilice esos datos para sanear su entorno antes de aplicar las políticas. El segundo error es la infraestructura de certificados. La evaluación de postura basada en agentes con EAP-TLS requiere una PKI en funcionamiento. Si no dispone de una, o si la gestión del ciclo de vida de sus certificados es manual y ad hoc, sufrirá interrupciones de servicio. Los certificados caducan. Los dispositivos se reconstruyen sin certificados. Planifique su PKI antes de planificar su despliegue de NAC. Tercero: el diseño de VLAN. Su VLAN de cuarentena debe estar realmente aislada, no solo ser una subred diferente en la misma infraestructura física. Debe tener acceso únicamente a su portal de remediación y, si es necesario, a Windows Update o a su servidor de gestión de parches. Si su VLAN de cuarentena tiene alguna ruta hacia los sistemas de producción, habrá creado una falsa sensación de seguridad. Cuarto: excepciones y procesos de omisión. Toda organización tiene dispositivos que no pueden ejecutar un agente: impresoras, sensores IoT, sistemas de gestión de edificios. Necesita un proceso documentado y aprobado para conceder la omisión de autenticación MAC a estos dispositivos, con controles compensatorios. Si no define este proceso de antemano, acabará con una lista blanca informal que nadie posee y nadie audita. Desde el punto de vista de los estándares, alinee su política de postura con los CIS Benchmarks para sus plataformas de sistemas operativos. Estos son neutros respecto al fabricante, se actualizan periódicamente y están ampliamente aceptados como la línea de base para la seguridad de endpoints empresariales. Para entornos PCI DSS, el Requisito 6.3 sobre gestión de parches y el Requisito 5.3 sobre antimalware se corresponden directamente con sus categorías de comprobación de postura. Ahora, pasemos a unas cuantas preguntas rápidas. ¿Puede funcionar la evaluación del estado de salud de NAC en dispositivos BYOD? Sí, pero se necesita una línea de políticas independiente. Los dispositivos BYOD suelen pasar por un método EAP diferente (EAP-PEAP con credenciales de usuario en lugar de EAP-TLS con certificados de máquina) y reciben un segmento de red más restringido. Las comprobaciones del estado de salud para BYOD suelen ser más ligeras: versión del SO, presencia básica de antivirus y bloqueo de pantalla activado. ¿Cómo interactúa esto con una red WiFi para invitados? No lo hace, y no debería. El WiFi para invitados es un SSID y un segmento de red completamente independientes, aislados de su infraestructura corporativa. La evaluación del estado de salud de NAC se aplica únicamente a su SSID corporativo. Las dos redes nunca deben compartir una VLAN ni enrutarse entre sí. ¿Cuál es el plazo habitual para un despliegue completo de NAC? Para una mediana empresa (por ejemplo, de quinientos a dos mil endpoints en varias sedes), prevea de doce a dieciséis semanas desde el diseño hasta la aplicación total. Esto incluye la configuración de PKI, el despliegue de agentes, el modo de monitorización, la remediación y el despliegue de la aplicación por fases. En resumen: la evaluación del estado de salud de NAC es el mecanismo que garantiza que su marco de control de acceso a la red tenga fuerza real. La identidad por sí sola (saber quién se conecta) no es suficiente. Es necesario conocer el estado de seguridad del dispositivo, validarlo con respecto a la política y aplicar consecuencias en caso de incumplimiento. La arquitectura está madura y bien estandarizada en torno a 802.1X, RADIUS y EAP-TLS. Los retos de implementación son reales, pero manejables si se sigue un enfoque por fases. Sus próximos pasos inmediatos: audite su parque actual de endpoints para comprobar el cumplimiento del estado de salud utilizando su MDM actual o sus herramientas de gestión de endpoints. Evalúe su preparación de PKI. Diseñe su arquitectura de VLAN para segmentos conformes, condicionales y de cuarentena. Y planifique un despliegue en modo de monitorización antes de pasar a la aplicación. Para las organizaciones que operan en entornos mixtos (red corporativa interna junto con WiFi pública o para invitados), plataformas como Purple proporcionan la inteligencia de red y analítica del lado del invitado que complementan su despliegue corporativo de NAC, manteniendo esos dos mundos claramente separados al tiempo que le ofrecen una visibilidad completa de ambos. Gracias por escucharnos. Explore la guía escrita completa en la plataforma Purple para ver diagramas de arquitectura, ejemplos prácticos y referencias de configuración.