Saltar al contenido principal
Español

Introducción a Cisco SUDI: Identidad de dispositivos basada en hardware en el control de acceso a la red

Esta guía detalla la arquitectura técnica de Cisco SUDI y explica cómo la identidad anclada en hardware protege el control de acceso a la red. Proporciona pasos de implementación prácticos para que los responsables de TI desplieguen la autenticación 802.1X EAP-TLS y automaticen el Zero Touch Provisioning en entornos empresariales.

📖 6 min de lectura📝 1,346 palabras🔧 2 ejemplos prácticos3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
Introducción a Cisco SUDI: Identidad de dispositivos basada en hardware en el control de acceso a la red Un informe técnico de Purple - Guion completo del podcast (aprox. 10 minutos) --- SEGMENTO 1: INTRODUCCIÓN Y CONTEXTO (aprox. 1 minuto) Hola y bienvenidos a este informe técnico de Purple. Durante los próximos diez minutos, les guiaré a través de Cisco SUDI (Secure Unique Device Identifier): qué es exactamente, cómo encaja en su arquitectura de control de acceso a la red y qué debe hacer al respecto si gestiona infraestructura de Cisco a gran escala. Este contenido está dirigido a arquitectos de red, responsables de TI y directores de tecnología (CTO) de grandes recintos (hoteles, cadenas de tiendas, estadios, centros de conferencias), es decir, cualquier lugar donde se ofrezca WiFi empresarial y se necesite la total certeza de que el hardware de la red es exactamente lo que dice ser. Comencemos con el problema que resuelve SUDI. En la red de cualquier gran recinto, hay decenas o cientos de puntos de acceso, switches y controladores. La pregunta de la que depende su seguridad es: ¿cómo sabe que cada uno de esos dispositivos es un producto Cisco original y sin modificar, y no una falsificación, una unidad comprometida o un dispositivo manipulado en tránsito? Ese es el vacío que cubre SUDI. --- SEGMENTO 2: ANÁLISIS TÉCNICO DETALLADO (aprox. 5 minutos) SUDI significa Secure Unique Device Identifier (Identificador Único de Dispositivo Seguro). Es un certificado X.509 versión 3, el mismo formato de certificado utilizado en HTTPS y TLS, pero en lugar de emitirse a una persona o servidor, se asigna a un componente de hardware específico durante su fabricación. Contiene el identificador de producto y el número de serie del dispositivo, y está vinculado a la propia infraestructura de clave pública (PKI) de Cisco. Esto es lo que diferencia a SUDI de un certificado de software que instalaría usted mismo. El certificado SUDI, junto con su par de claves asociado, reside dentro de un chip resistente a manipulaciones llamado Trust Anchor module, o TAm. La clave privada se genera dentro de ese chip y nunca sale de él. No se puede exportar. No se puede clonar. Si alguien manipula físicamente el chip, la clave se destruye. Esa es la raíz de confianza basada en hardware. SUDI es la implementación de Cisco del estándar IEEE 802.1AR, el estándar del sector para identificadores de dispositivos seguros o DevIDs. Según la norma 802.1AR, la credencial instalada por el fabricante se denomina Initial Device Identifier o IDevID. El SUDI de Cisco es exactamente eso: un IDevID que Cisco instala en fábrica. Puede complementarlo con un Locally Significant Device Identifier o LDevID, que emite su propia PKI para las políticas de autorización locales. Ahora bien, ¿cómo se conecta esto con el control de acceso a la red? El punto de integración más común es IEEE 802.1X, el estándar de control de acceso a la red basado en puertos. Cuando un punto de acceso o switch de Cisco se conecta, puede presentar su certificado SUDI a un servidor RADIUS (normalmente Cisco ISE, Identity Services Engine) utilizando EAP-TLS, que es el protocolo de autenticación extensible con seguridad de la capa de transporte. El servidor RADIUS valida el certificado frente a la autoridad de certificación pública de Cisco, confirma que el dispositivo es original y, a continuación, aplica la política de red correspondiente. Esto es significativamente más sólido que el MAC address bypass, que es el método de respaldo que la mayoría de las redes utilizan para los dispositivos de infraestructura. Las direcciones MAC se pueden suplantar en menos de un minuto. Un certificado vinculado al hardware en un chip resistente a manipulaciones no se puede suplantar sin destruir físicamente el dispositivo. En el contexto de un gran recinto, esto es crucial por tres razones. En primer lugar, elimina el riesgo de que puntos de acceso no autorizados se unan a su red. Un dispositivo falsificado o no autorizado sencillamente no puede presentar un SUDI válido. En segundo lugar, permite un Zero Touch Provisioning automatizado: se envía un nuevo dispositivo a su recinto, se enciende, presenta su SUDI y su sistema de gestión lo verifica con su inventario antes de enviarle la configuración. Sin intervención manual. En tercer lugar, le proporciona un registro de auditoría verificable criptográficamente. Cada dispositivo que se ha autenticado en su red lo ha hecho con un certificado que demuestra que es un producto Cisco específico y registrado. Permítanme hablar del Trust Anchor module con un poco más de detalle, porque es la base sobre la que se asienta todo lo demás. El TAm es un chip patentado de Cisco que proporciona tres elementos: almacenamiento seguro no volátil para el SUDI y las claves, servicios criptográficos que incluyen la generación de números aleatorios y la creación de huellas digitales de hardware. Vale la pena destacar este último punto: Cisco registra una huella digital de los componentes de hardware críticos de un dispositivo durante su fabricación y la almacena en el TAm. Cuando el dispositivo arranca, comprueba la huella digital del hardware detectado con la almacenada. Si no coinciden, el dispositivo no arranca. Esto detecta la manipulación del hardware en tránsito, una preocupación real en despliegues en grandes recintos donde el hardware puede pasar por varias manos antes de su instalación. Un aspecto operativo que deben tener en cuenta: los certificados SUDI emitidos antes de mayo de 2019 caducan a los diez años de su fecha de fabricación o el 14 de mayo de 2029, lo que ocurra primero. Cisco ha solucionado esto con una nueva generación de certificados denominada SUDI-2099, válidos hasta diciembre de 2099. Si dispone de hardware de la serie Catalyst 9000 fabricado antes de 2019, debe comprobar las fechas de caducidad de sus SUDI ahora mismo. El comando es show crypto pki certificate en IOS-XE. Busque el punto de confianza CISCO_IDEVID_SUDI y compruebe la fecha de finalización. Si utiliza Catalyst 9200, actualice a IOS-XE 17.12.2 o posterior para asegurarse de utilizar el certificado 2099 correcto. --- SEGMENTO 3: RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES (aprox. 2 minutos) Permítanme ofrecerles una perspectiva práctica de la implementación. Si va a desplegar la autenticación basada en SUDI en un gran recinto, este es el proceso recomendado. Comience con su infraestructura RADIUS. Cisco ISE es la opción natural si ya se encuentra en el ecosistema de Cisco, pero cualquier servidor RADIUS que admita EAP-TLS y pueda realizar la validación frente a una CA externa funcionará. Debe importar la CA raíz de Cisco y los certificados de la CA ACT2 SUDI en el almacén de confianza de su RADIUS. Están disponibles públicamente en el portal PKI de Cisco. A continuación, configure su política 802.1X para exigir autenticación basada en certificados para los dispositivos de infraestructura. Separe esto de su política de autenticación de usuarios finales; los flujos de autenticación de empleados y de invitados son diferentes y deben gestionarse en conjuntos de políticas distintos en ISE. Para nuevos despliegues, habilite Zero Touch Provisioning. Su sistema de gestión de red (como Cisco DNA Center o Catalyst Center) puede utilizar SUDI para verificar la identidad del dispositivo antes de enviar la configuración. Esto elimina el proceso de preparación manual y reduce el tiempo de aprovisionamiento de horas a minutos por dispositivo. Ahora, hablemos de los errores comunes. El más habitual que observo es mezclar la autenticación SUDI con MAC address bypass en el mismo puerto. Si recurre a MAB cuando falla SUDI, habrá debilitado el modelo de seguridad. Defina una política clara: los dispositivos compatibles con SUDI deben autenticarse obligatoriamente a través de SUDI. Los dispositivos que no admitan SUDI se derivan a una VLAN de cuarentena a la espera de una revisión manual. El segundo error es la caducidad de los certificados. Configure ya la supervisión de las fechas de caducidad de SUDI en toda su infraestructura. No espere a que se produzca una interrupción del servicio para descubrir que sus puntos de acceso ya no pueden autenticarse. La plataforma de Purple se integra con Cisco Meraki y otros proveedores de hardware para mostrar los indicadores de estado de los dispositivos (incluido el estado de autenticación) en un único panel, lo que hace que este tipo de supervisión proactiva sea viable a gran escala. El tercer error es la pérdida de enfoque del proyecto. SUDI autentica el dispositivo de hardware, no al usuario que se conecta a través de ese dispositivo. Sigue necesitando una capa de identidad independiente para invitados, empleados y residentes. Ahí es donde entra una plataforma como Purple: nosotros gestionamos la capa de identidad humana, la captura de consentimiento, la asignación de VLAN para el tráfico de invitados y las analíticas, mientras que SUDI se encarga de la capa de infraestructura subyecente. --- SEGMENTO 4: PREGUNTAS Y RESPUESTAS RÁPIDAS (aprox. 1 minuto) Repasemos tres preguntas que me formulan con frecuencia. ¿SUDI sustituye a mi PKI actual? No. SUDI es un IDevID instalado por el fabricante. Demuestra que el dispositivo es hardware original de Cisco. Su PKI empresarial emite LDevIDs y certificados de usuario para todo lo demás. Funcionan en paralelo. ¿Puedo utilizar SUDI en hardware que no sea de Cisco? No. SUDI es específico de Cisco. HPE Aruba tiene un equivalente llamado certificados de aprovisionamiento IAP. Ruckus y Juniper Mist disponen de sus propios mecanismos de identidad de dispositivos. El estándar subyacente (IEEE 802.1AR) es neutro respecto al proveedor, pero cada fabricante lo implementa de forma diferente. ¿Qué ocurre cuando caduca un certificado SUDI? Los servicios que dependen de SUDI para la autenticación (como HTTPS, SSH con autenticación por certificado o Zero Touch Provisioning) fallarán. El dispositivo en sí seguirá funcionando, pero ya no podrá demostrar su identidad criptográficamente. Por eso es tan importante la migración a SUDI-2099. --- SEGMENTO 5: RESUMEN Y PRÓXIMOS PASOS (aprox. 1 minuto) Para resumir: Cisco SUDI le proporciona una identidad de dispositivo vinculada al hardware que no se puede suplantar, clonar ni exportar. Es la base de una capa de infraestructura de confianza. Combinado con IEEE 802.1X y una política RADIUS bien configurada, elimina el riesgo de dispositivos no autorizados y permite un aprovisionamiento automatizado a gran escala. Sus tres acciones inmediatas: uno, audite su infraestructura de Cisco para comprobar las fechas de caducidad de SUDI mediante show crypto pki certificate. Dos, importe la CA raíz de Cisco en su almacén de confianza RADIUS y configure políticas EAP-TLS para los dispositivos de infraestructura. Tres, separe su política de autenticación de infraestructura de la de usuarios finales; responden a propósitos distintos y deben gestionarse de forma independiente. Si desea profundizar en cómo se integra Purple con Cisco Meraki y otros proveedores de hardware para ofrecer una segmentación de red basada en la identidad para invitados, empleados y residentes, visite purple.ai o lea las guías relacionadas que encontrará enlazadas bajo este episodio. Gracias por su atención. Nos vemos en el próximo informe técnico. --- FIN DEL GUION

header_image.png

Resumen Ejecutivo

La autenticación de hardware protege la base física de las redes empresariales. El identificador único de dispositivo seguro de Cisco, o Cisco Secure Unique Device Identifier (SUDI), proporciona una identidad inmutable y verificable criptográficamente para los dispositivos de infraestructura, integrada directamente en un chip resistente a manipulaciones durante su fabricación. Para los responsables de TI que gestionan despliegues a gran escala en los sectores de hostelería, retail y sector público, SUDI elimina el riesgo de hardware no autorizado y permite un Zero Touch Provisioning automatizado.

Esta guía detalla la arquitectura técnica de Cisco SUDI, su integración con el control de acceso a la red (NAC) IEEE 802.1X y los pasos operativos necesarios para desplegar y mantener la identidad basada en hardware a gran escala. Aprenderá a realizar la transición desde el vulnerable MAC address bypass a una autenticación EAP-TLS sólida, a gestionar el ciclo de vida de los certificados SUDI-2099 y a alinear la seguridad de la infraestructura con plataformas de gestión de identidad de usuarios como Purple.

Análisis técnico detallado

La arquitectura de la identidad de hardware

El Cisco Secure Unique Device Identifier (SUDI) es un certificado X.509v3 que proporciona una identidad permanente para los dispositivos de red. A diferencia de los certificados de software que los equipos de TI generan y despliegan, Cisco introduce el certificado SUDI y su par de claves asociado en el dispositivo durante el proceso de fabricación.

El certificado se almacena de forma segura en el Trust Anchor module (TAm), un chip patentado y resistente a manipulaciones. El TAm genera la clave privada internamente, lo que garantiza que nunca se pueda exportar ni clonar. Esta raíz de confianza de hardware garantiza que, si un dispositivo se autentica correctamente mediante su SUDI, se trata de un producto Cisco original.

SUDI implementa el estándar IEEE 802.1AR para identificadores de dispositivos seguros. Según esta norma, el certificado proporcionado por el fabricante se conoce como Initial Device Identifier (IDevID). Las organizaciones pueden complementar el IDevID con un Locally Significant Device Identifier (LDevID) emitido por su propia infraestructura de clave pública (PKI) empresarial.

sudi_architecture_overview.png

Integración con el control de acceso a la red

En un entorno empresarial, SUDI se integra con los sistemas de control de acceso a la red (NAC) principalmente a través de la autenticación basada en puertos IEEE 802.1X. Cuando un punto de acceso o switch de Cisco se conecta a la red, actúa como suplicante y presenta su certificado SUDI a un servidor RADIUS, como Cisco Identity Services Engine (ISE).

El proceso de autenticación utiliza el protocolo de autenticación extensible con seguridad de la capa de transporte (EAP-TLS). El servidor RADIUS valida el certificado SUDI frente a la infraestructura de clave pública de Cisco. Una vez validado, el servidor RADIUS autoriza el dispositivo y lo asigna a la VLAN correcta en función de la política de acceso a la red.

Este enfoque sustituye a MAC Address Bypass (MAB), un método heredado que se basa en direcciones MAC fácilmente suplantables. MAB ofrece una garantía criptográfica nula de la identidad del dispositivo, lo que deja a las redes vulnerables a puntos de acceso no autorizados.

Huella digital de hardware y detección de manipulaciones

El Trust Anchor module proporciona algo más que un almacenamiento seguro. Protege activamente el dispositivo contra la manipulación física durante el tránsito o el despliegue.

Durante la fabricación, Cisco registra una huella digital criptográfica de los componentes de hardware críticos, como las CPU y los ASIC. Esta huella digital se almacena de forma permanente en el TAm. Cuando el dispositivo arranca, el firmware UEFI calcula una nueva huella digital del hardware detectado y la compara con la huella digital maestra del TAm. Si las huellas digitales no coinciden, el dispositivo detiene el proceso de arranque. Este mecanismo garantiza que el hardware desplegado en un hotel o una tienda no haya sido comprometido entre la fábrica y el lugar de instalación.

Guía de implementación

El despliegue de la autenticación basada en SUDI requiere la coordinación entre su infraestructura de conmutación, su servidor RADIUS y su plataforma de gestión de red. Siga estos pasos para implementar la identidad de hardware.

Paso 1: Configurar la confianza en RADIUS

Su servidor RADIUS debe confiar en la autoridad de certificación de Cisco que emitió el SUDI.

  1. Descargue la CA raíz de Cisco y los certificados de la CA ACT2 SUDI desde el portal PKI de Cisco.
  2. Importe estos certificados en el almacén de certificados de confianza de su servidor RADIUS (por ejemplo, Cisco ISE).
  3. Configure el servidor RADIUS para utilizar estos certificados en la autenticación EAP-TLS.

Paso 2: Definir políticas 802.1X

Cree políticas de autenticación específicas para los dispositivos de infraestructura, independientes de las políticas de autenticación de usuarios.

  1. Cree un conjunto de políticas en Cisco ISE que coincida con los atributos del certificado SUDI (por ejemplo, haciendo coincidir el Subject Alternative Name con los PID de dispositivo esperados).
  2. Asigne las autenticaciones correctas a la VLAN de gestión de la infraestructura.
  3. Configure una VLAN de cuarentena para los dispositivos que fallen en la autenticación SUDI. No configure un sistema de respaldo a MAB para los puertos de infraestructura.

Paso 3: Habilitar Zero Touch Provisioning

Utilice SUDI para automatizar la incorporación de dispositivos.

  1. Configure su sistema de gestión de red (como Cisco Catalyst Center) para que actúe como servidor ZTP.
  2. Cuando un nuevo dispositivo se conecta, presenta su certificado SUDI.
  3. El sistema de gestión verifica el certificado, confirma el número de serie del dispositivo con la base de datos de inventario y envía la configuración inicial.

sudi_lifecycle_diagram.png

Paso 4: Gestionar la migración a SUDI-2099

Los certificados SUDI emitidos antes de mayo de 2019 caducan a los 10 años dela fecha de fabricación o el 14 de mayo de 2029, lo que ocurra antes. Cuando un SUDI caduca, las funciones que dependen de él, incluidos HTTPS, SSH y Zero Touch Provisioning, fallarán.

Cisco ha introducido los certificados SUDI-2099, que siguen siendo válidos hasta diciembre de 2099. Para garantizar la continuidad:

  1. Audite su inventario utilizando el comando show crypto pki certificate en dispositivos IOS-XE. Compruebe la end date del punto de confianza CISCO_IDEVID_SUDI.
  2. Actualice el hardware afectado a las versiones de software recomendadas. Por ejemplo, los switches Catalyst 9200 requieren IOS-XE 17.12.2 o posterior para gestionar correctamente la fecha de caducidad de 2099.

Mejores prácticas

Para maximizar los beneficios de seguridad de la identidad de hardware, siga estos principios independientes del proveedor.

  1. Exigir EAP-TLS estricto: Requiera EAP-TLS para todos los dispositivos de infraestructura. No permita métodos EAP más débiles como PEAP para la autenticación de dispositivos.
  2. Aislar la identidad de la infraestructura de la identidad del usuario: SUDI autentica el hardware, no al usuario. Utilice una plataforma dedicada para gestionar la identidad humana. Por ejemplo, utilice Purple para gestionar la autenticación de invitados, la captura de consentimiento y la recopilación de datos de origen (first-party data), mientras confía en SUDI para proteger el hardware subyacente de Cisco Meraki o HPE Aruba.
  3. Automatizar la supervisión de certificados: Implemente herramientas de supervisión para realizar un seguimiento de las fechas de caducidad de los certificados en toda su infraestructura. La supervisión proactiva evita fallos de autenticación repentinos.
  4. Implementar microsegmentación: Utilice la identidad verificada por SUDI para asignar dispositivos a VLAN estrictamente controladas. Un punto de acceso solo debe tener accesibilidad de red a su controlador y sistemas de gestión, nada más.

Resolución de problemas y mitigación de riesgos

Al implementar la autenticación basada en SUDI, prepárese para estos modos de fallo comunes.

Modo de fallo Causa raíz Estrategia de mitigación
La autenticación EAP-TLS falla El servidor RADIUS carece de los certificados CA raíz o intermedios de Cisco correctos. Verifique que la cadena de confianza completa de Cisco esté instalada en el almacén de confianza del servidor RADIUS.
El dispositivo se niega a arrancar La huella digital de hardware calculada al arrancar no coincide con la huella digital maestra en el TAm. Trate el dispositivo como comprometido. Devuelva el hardware al proveedor a través del proceso RMA.
El acceso de gestión falla El certificado SUDI ha caducado, lo que interrumpe la autenticación de certificados HTTPS y SSH. Actualice el firmware del dispositivo a una versión compatible con SUDI-2099, o implemente un LDevID utilizando la PKI de su empresa.
Un dispositivo no autorizado obtiene acceso El puerto del switch está configurado para recurrir a MAC Address Bypass (MAB) si falla 802.1X. Elimine las configuraciones de respaldo de MAB de los puertos de infraestructura. Aplique una política estricta de 802.1X.

ROI e impacto empresarial

La implementación de la identidad de dispositivo basada en hardware ofrece un valor empresarial medible en tres áreas.

1. Reducción de los costes de aprovisionamiento Zero Touch Provisioning protegido por SUDI elimina la preparación manual. En lugar de que un ingeniero pase 45 minutos preconfigurando un punto de acceso antes de enviarlo a una tienda minorista, el dispositivo se envía directamente desde el distribuidor. Se autentica de forma segura al conectarse y descarga su configuración automáticamente. Para un despliegue minorista de 500 centros, esto ahorra aproximadamente 375 horas de ingeniería.

2. Eliminación del riesgo de dispositivos no autorizados Al dejar de utilizar MAC Address Bypass en favor de la identidad de hardware criptográfica, elimina el riesgo de que un atacante conecte un dispositivo no autorizado a un puerto de infraestructura. Esto respalda directamente el cumplimiento de los requisitos de PCI DSS e ISO 27001 para el control de acceso a la red.

3. Límites de identidad claros El despliegue de SUDI establece un límite arquitectónico limpio. La capa de hardware se autentica criptográficamente, lo que le permite centrar sus recursos en la capa de identidad del usuario. Al integrar una plataforma como Purple para gestionar el WiFi de invitados y las Analíticas de WiFi , lo hace sobre una base de infraestructura verificable y segura.

Definiciones clave

SUDI (Secure Unique Device Identifier)

Un certificado X.509v3 y una clave privada asociada integrados en un dispositivo Cisco durante la fabricación para proporcionar una identidad de hardware inmutable.

Utilizado por los equipos de TI para verificar criptográficamente que un dispositivo que se conecta a la red es un producto Cisco original.

TAm (Trust Anchor module)

Un chip de hardware patentado y resistente a manipulaciones que almacena de forma segura el certificado SUDI, genera claves criptográficas y gestiona la huella digital del hardware.

Proporciona la raíz de confianza de hardware. Si el TAm se ve comprometido, el dispositivo no podrá arrancar ni autenticarse.

IDevID (Initial Device Identifier)

El identificador de dispositivo seguro instalado por el fabricante definido por el estándar IEEE 802.1AR. Cisco SUDI es una implementación de un IDevID.

Proporciona la identidad fundacional de un dispositivo antes de integrarlo en el propio entorno PKI de la organización.

LDevID (Locally Significant Device Identifier)

Un certificado de dispositivo emitido por la propia infraestructura de clave pública (PKI) empresarial de una organización, que complementa al IDevID del fabricante.

Se utiliza cuando los equipos de TI requieren que los dispositivos se autentiquen mediante certificados emitidos por su CA corporativa interna en lugar de la CA del proveedor.

IEEE 802.1X

El estándar IEEE para el control de acceso a la red basado en puertos, que proporciona un mecanismo de autenticación a los dispositivos que desean conectarse a una LAN o WLAN.

El protocolo principal utilizado para aplicar la seguridad de la red, garantizando que solo los dispositivos y usuarios autorizados puedan enviar tráfico a través de un puerto de switch.

EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)

Un protocolo de autenticación altamente seguro que requiere que tanto el cliente como el servidor de autenticación demuestren sus identidades mediante certificados digitales.

El método específico utilizado dentro de 802.1X para validar el certificado SUDI entre el dispositivo de red y el servidor RADIUS.

Zero Touch Provisioning (ZTP)

Un proceso automatizado que permite aprovisionar y configurar dispositivos de red automáticamente sin intervención manual.

SUDI protege el ZTP garantizando que el sistema de gestión solo envíe configuraciones a hardware verificado y original.

MAC Address Bypass (MAB)

Un método de autenticación heredado en el que un switch utiliza la dirección MAC del dispositivo que se conecta como su credencial de identidad.

Un método de respaldo inseguro que debe eliminarse y sustituirse por la autenticación 802.1X basada en SUDI.

Ejemplos prácticos

Un hotel de 400 habitaciones está actualizando su infraestructura de red y necesita desplegar 250 nuevos puntos de acceso Cisco Catalyst. El equipo de TI quiere evitar la configuración manual de cada dispositivo antes de la instalación, garantizando al mismo tiempo que ningún dispositivo no autorizado pueda unirse a la VLAN de gestión.

  1. El equipo de TI configura Cisco ISE con la CA raíz de Cisco para confiar en los certificados SUDI.
  2. Crean una política 802.1X en ISE que asigna los dispositivos que presentan un SUDI válido a una VLAN de aprovisionamiento restringida.
  3. Los puntos de acceso se envían directamente al hotel y se conectan a los switches PoE.
  4. Cada AP arranca, presenta su SUDI a través de EAP-TLS y es autenticado por ISE.
  5. El sistema de gestión (Catalyst Center) verifica el número de serie, aprovisiona el AP e ISE cambia el puerto a la VLAN de gestión de producción.
Comentario del examinador: Este enfoque utiliza Zero Touch Provisioning protegido por identidad de hardware. Elimina los costes de preparación manual y evita que los dispositivos no autorizados exploten los puertos de aprovisionamiento abiertos. El uso de Change of Authorization (CoA) para mover el dispositivo de una VLAN de aprovisionamiento a una VLAN de producción demuestra una sólida segmentación de red.

Una cadena de tiendas nacional con 1.200 establecimientos descubre que sus switches heredados utilizan MAC Address Bypass (MAB) para autenticar los puntos de acceso. Necesitan migrar a un estándar seguro sin provocar interrupciones en las tiendas.

  1. El equipo de red audita el inventario de switches para confirmar que todos los dispositivos son compatibles con 802.1X y SUDI.
  2. Despliegan los certificados de la CA de Cisco en su infraestructura RADIUS.
  3. Configuran los puertos del switch en 'modo monitor' (autenticación abierta), lo que permite a los dispositivos intentar 802.1X EAP-TLS utilizando SUDI, recurriendo a MAB si fallan, pero registrando los resultados.
  4. Tras verificar en los registros de RADIUS que todos los AP legítimos se autentican correctamente a través de SUDI, cambian los puertos a 'modo cerrado', aplicando un 802.1X estricto y desactivando MAB.
Comentario del examinador: La migración por fases utilizando el modo monitor es el enfoque operativo correcto para una gran red de tiendas. Permite al equipo validar la cadena de confianza de la PKI y la validez de los certificados sin riesgo de aislamiento de red para los puntos de acceso. Eliminar MAB por completo es el paso final necesario para proteger el entorno.

Preguntas de práctica

Q1. Está desplegando 50 nuevos switches Cisco Catalyst en un estadio. La política de seguridad exige una autenticación 802.1X estricta para todos los dispositivos de infraestructura. Durante las pruebas, los switches no logran autenticarse en su servidor Cisco ISE. ¿Cuál es la causa más probable?

Sugerencia: Considere la cadena de confianza requerida para la autenticación EAP-TLS.

Ver respuesta modelo

Al servidor Cisco ISE le faltan los certificados de la CA raíz de Cisco o de la CA ACT2 SUDI en su almacén de certificados de confianza. Sin ellos, ISE no puede validar el certificado SUDI presentado por los switches. Debe descargar los certificados del portal PKI de Cisco e importarlos en ISE.

Q2. Un ingeniero de redes propone configurar los puertos del switch para que intenten primero la autenticación 802.1X, pero recurran a MAC Address Bypass (MAB) si el dispositivo no tiene un certificado válido. ¿Por qué debería rechazar esta propuesta para los puertos de infraestructura?

Sugerencia: Evalúe la solidez de seguridad del mecanismo de respaldo.

Ver respuesta modelo

Recurrir a MAB debilita todo el modelo de seguridad. Un atacante podría simplemente conectar un dispositivo no autorizado, esperar a que expire el tiempo de espera de 802.1X y suplantar la dirección MAC de un punto de acceso legítimo para acceder a la VLAN de infraestructura. Los puertos de infraestructura deben exigir un 802.1X estricto con SUDI, y los dispositivos no conformes deben colocarse en una VLAN de cuarentena restringida.

Q3. Está auditando una red de switches Catalyst 9200 desplegados en 2018. Ejecuta el comando 'show crypto pki certificate' y observa que el punto de confianza CISCO_IDEVID_SUDI expira en mayo de 2029. ¿Qué medida debe tomar para evitar futuras interrupciones del servicio?

Sugerencia: Revise los requisitos de migración a SUDI-2099 para el hardware heredado.

Ver respuesta modelo

Debe actualizar el software IOS-XE en los switches Catalyst 9200 a la versión 17.12.2 o posterior. Esta actualización garantiza que el hardware sea totalmente compatible con la extensión de certificado SUDI-2099, prolongando la identidad válida del dispositivo hasta diciembre de 2099 y evitando fallos de autenticación en servicios como HTTPS y ZTP.

Continúe leyendo esta serie

Cómo configurar un Captive Portal en Starlink: guía para establecimientos remotos y marítimos

Esta guía detalla cómo omitir el hardware nativo de Starlink e integrar un Captive Portal gestionado en la nube utilizando equipos de enrutamiento empresariales. Aprenderá a superar la limitación de CGNAT, aplicar la segmentación de VLAN, gestionar las limitaciones de ancho de banda satelital y garantizar el cumplimiento normativo.

Leer la guía →

Hotel Guest WiFi Management: Integrating PMS, Portals, and Brand Standards

Esta guía técnica detalla cómo diseñar redes WiFi hoteleras de nivel empresarial, centrándose en la segmentación de VLAN, la integración de PMS para la gestión automatizada de sesiones y la optimización del Captive Portal para la captura de datos de conformidad con el GDPR.

Leer la guía →

Cómo optimizar los captive portals para una máxima seguridad de red y conversión de usuarios

Esta guía proporciona un esquema técnico completo para optimizar los captive portals en entornos empresariales, abarcando la arquitectura de segmentación de red, la selección del método de autenticación, el diseño de consentimiento conforme a la GDPR y la optimización de la conversión. Está dirigida a responsables de TI, arquitectos de red y CTO de hoteles, cadenas de tiendas, estadios y organizaciones del sector público que necesitan equilibrar la seguridad de la red con la captura de datos de primera mano. Purple opera la infraestructura de captive portals en más de 80.000 establecimientos con 440 millones de inicios de sesión en 2024, y los marcos de trabajo aquí presentados reflejan esa experiencia operativa.

Leer la guía →