Saltar al contenido principal
Español

NAC (Network Access Control) explicado

Una referencia técnica de autoridad para líderes de TI sobre Network Access Control (NAC), que explica su arquitectura, modelos de despliegue y su papel fundamental en la seguridad de redes WiFi empresariales. Esta guía ofrece información práctica para proteger el acceso a la red en entornos de hostelería, comercio minorista y corporativos, detallando cómo plataformas como Purple se integran para aplicar políticas de acceso sólidas.

📖 7 min de lectura📝 1,579 palabras🔧 2 ejemplos prácticos3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
[Música de introducción: sintonía brillante, profesional y de enfoque tecnológico, que se atenúa después de 5 segundos] **Presentador (Voz con confianza, autoritaria, inglés británico):** Hola y bienvenidos al Informe Técnico de Purple. Soy su anfitrión, y en los próximos diez minutos ofreceremos una descripción general de nivel directivo sobre un tema de seguridad crítico: el Control de Acceso a la Red, o NAC. Si es un responsable de TI, arquitecto o CTO a cargo de la red de su organización, esto es para usted. Vamos a ir al grano, dejando de lado los tecnicismos, para centrarnos en qué es el NAC, por qué es importante para su estrategia de WiFi y cómo plantear su implementación. **(Minuto 1 - Introducción y contexto)** Entonces, ¿cuál es el problema que realmente resuelve el NAC? Durante años, protegimos nuestras redes con una simple contraseña. Pero hoy en día, con el personal, los invitados, los contratistas y una avalancha de dispositivos IoT que quieren acceder, ese único punto de fallo ya no es defendible. El NAC nos traslada de un modelo basado en contraseñas a un modelo basado en la identidad. Deja de preguntar "¿cuál es la contraseña?" y empieza a preguntar "¿quién eres, qué dispositivo estás usando y es seguro dejarte entrar?". Es el portero en la entrada de su espacio digital, que comprueba las identificaciones y garantiza el cumplimiento antes de permitir el acceso. **(Minuto 6 - Profundización técnica)** Entremos en la arquitectura. El núcleo del NAC moderno es un estándar llamado IEEE 802.1X. Esto no es tan complejo como parece. Piense en ello como una conversación de tres partes. Primero, tiene el "Suplicante" (Supplicant): ese es el portátil o teléfono que quiere conectarse. Segundo, el "Autenticador" (Authenticator): su punto de acceso WiFi o switch. Y tercero, el "Servidor de Autenticación" (Authentication Server), que casi siempre es un servidor RADIUS. Cuando su portátil se conecta, el punto de acceso lo detiene en la puerta y le dice: "Espera un momento. Déjame consultar con mi jefe". Toma sus credenciales (idealmente un certificado digital, no una contraseña) y las pasa al servidor RADIUS. El servidor RADIUS comprueba su identidad en un directorio, como Active Directory. Pero aquí está la parte crucial. Una solución NAC adecuada no se limita a decir "sí" o "no". También realiza una comprobación de estado (posture check). Pregunta: ¿su antivirus está actualizado? ¿Su sistema operativo tiene los parches al día? ¿Su disco está cifrado? Si supera tanto la comprobación de identidad como la de estado, el servidor RADIUS le dice al punto de acceso: "Este es un dispositivo corporativo de confianza. Colócalo en la VLAN de personal". Si es un invitado, podría decir: "No conozco a esta persona. Redirígela al Captive Portal de Purple para que se registre". Y si su dispositivo no cumple con las políticas, puede decir: "Este dispositivo no es seguro. Colócalo en la VLAN de cuarentena con acceso únicamente al servidor de remediación". Esta asignación dinámica basada en políticas es el superpoder del NAC. Es lo que le permite construir una red de confianza cero verdaderamente segmentada. **(Minuto 8 - Recomendaciones de implementación y errores comunes)** Entonces, ¿cómo se implementa esto sin causar el caos? En primer lugar, no intente hacerlo todo a la vez. Comience en modo de solo monitorización. Deje que la solución NAC escuche durante unas semanas para descubrir y perfilar cada uno de los dispositivos de su red. Se sorprenderá de lo que encuentre. En segundo lugar, comience la aplicación en un segmento de bajo riesgo, como el WiFi de su propio equipo de TI. Pruebe sus políticas y perfecciónelas. Para sus dispositivos corporativos, opte por la autenticación basada en certificados. Es más segura y, una vez configurada, totalmente transparente para el usuario. Para los invitados, un Captive Portal es la mejor opción. Aquí es donde encaja una plataforma como Purple. Nosotros nos encargamos de la experiencia del invitado, el cumplimiento legal y la analítica, mientras que su infraestructura NAC principal se encarga de la seguridad profunda de sus activos corporativos. El mayor error que vemos es la falta de planificación para la gestión de certificados y el tratamiento de esos complicados dispositivos IoT sin interfaz de usuario que no son compatibles con 802.1X. Para ellos, necesitará una estrategia que combine la autenticación MAC con el perfilado de dispositivos. **(Minuto 9 - Preguntas y respuestas rápidas)** Hagamos una ronda rápida de preguntas y respuestas. *Pregunta uno: ¿El NAC es solo para WiFi?* No, es tanto para redes cableadas como inalámbricas. Cualquier puerto al que se pueda conectar un dispositivo debe estar protegido. *Pregunta dos: ¿Es esto demasiado complejo para una pequeña empresa?* Ya no. Las soluciones NAC basadas en la nube lo han hecho accesible sin necesidad de un rack de servidores locales. *Pregunta tres: ¿Reemplaza esto a mi firewall?* En absoluto. Funciona junto con su firewall. El NAC controla quién accede a la red y el firewall controla lo que pueden hacer una vez dentro. **(Minuto 10 - Resumen y próximos pasos)** En resumen: el control de acceso a la red consiste en pasar de un modelo de contraseña obsoleto a un marco de seguridad moderno basado en la identidad. Le permite autenticar, autorizar y auditar cada dispositivo de su red. Mediante el uso de estándares como 802.1X y herramientas como la evaluación del estado de seguridad y las VLAN dinámicas, puede crear una red que sea a la vez más segura y más inteligente. ¿Su siguiente paso? Comience con el descubrimiento. No puede proteger lo que no puede ver. Identifique todo lo que hay en su red, defina sus roles y comience a crear sus políticas de acceso. Gracias por asistir a esta sesión informativa técnica de Purple. Para obtener más información, visítenos en purple.ai. [Música de cierre: melodía alegre, profesional y de enfoque tecnológico, sube de volumen y suena durante 5 segundos antes de terminar]

header_image.png

Resumen Ejecutivo

El Control de Acceso a la Red (NAC) ha evolucionado de ser una medida de seguridad de nicho a convertirse en un componente fundamental de la estrategia de red de las empresas modernas. Para los responsables de TI, arquitectos de red y CTO, la implementación de una solución NAC sólida ya no es una cuestión de si se debe hacer, sino de cuándo y cómo. Esta guía sirve como referencia práctica y neutral respecto al proveedor para comprender y desplegar NAC, especialmente en el contexto de entornos WiFi complejos como los que se encuentran en hoteles, cadenas de retail y grandes recintos. Analizaremos los componentes principales de NAC, contrastándolo con los métodos de autenticación básicos para aclarar su valor a la hora de mitigar los riesgos de seguridad. El enfoque se centra en resultados tangibles: lograr el cumplimiento de los endpoints, aplicar políticas de acceso granulares y proteger el perímetro de la red frente a una gama cada vez mayor de dispositivos gestionados y no gestionados. Al ir más allá de los conceptos teóricos para abordar escenarios de despliegue del mundo real, este documento proporciona el marco necesario para tomar decisiones informadas, calcular el ROI y alinear la seguridad de la red con los objetivos empresariales generales. También aclara dónde encajan las soluciones como la plataforma Purple dentro de una arquitectura NAC integral, puenteando la brecha entre el acceso de invitados, la seguridad del personal y la aplicación centralizada de políticas.

Análisis Técnico Detallado

En su esencia, el Control de Acceso a la Red es un paradigma de seguridad que tiene como objetivo unificar la tecnología de seguridad de endpoints (como el antivirus y la prevención de intrusiones en el host), la autenticación de usuarios o sistemas y la aplicación de la seguridad de la red. Mientras que una red WiFi tradicional protegida por contraseña solo pregunta "¿cuál es la contraseña?", una red con soporte NAC formula una serie de preguntas más inteligentes: "¿Quién eres?", "¿Qué dispositivo estás utilizando?", "¿Cumple este dispositivo con nuestras políticas de seguridad?" y "¿A qué recursos estás autorizado a acceder?".

Los Componentes Clave: 802.1X y RADIUS

La piedra angular de la mayoría de las implementaciones modernas de NAC es el estándar IEEE 802.1X. No se trata de una única tecnología, sino de un marco para el control de acceso a la red basado en puertos. En él intervienen tres participantes clave:

  1. Suplicante (Supplicant): El dispositivo cliente (por ejemplo, un portátil, un smartphone) que solicita acceso a la red.
  2. Autenticador (Authenticator): El hardware de red que protege la red, normalmente un punto de acceso WiFi o un switch. Actúa como un guardián, permitiendo o bloqueando el tráfico.
  3. Servidor de Autenticación (Authentication Server): El cerebro centralizado de la operación, casi siempre un servidor RADIUS (Remote Authentication Dial-In User Service). Valida las credenciales del suplicante e indica al autenticador qué nivel de acceso debe conceder.

El proceso funciona a través del Protocolo de Autenticación Extensible (EAP), que permite varios métodos de autenticación, desde simples nombres de usuario/contraseñas (EAP-PEAP) hasta certificados digitales de alta seguridad (EAP-TLS). Cuando un dispositivo se conecta, el autenticador bloquea todo el tráfico excepto la comunicación 802.1X. Este retransmite las credenciales del suplicante al servidor RADIUS, que las verifica contra un directorio (como Active Directory). Si la autenticación es exitosa, el servidor RADIUS envía un mensaje "Access-Accept" de vuelta al autenticador, que a menudo incluye instrucciones de políticas específicas, como asignar el dispositivo a una VLAN particular.

architecture_overview.png

NAC frente a la autenticación WiFi básica: una distinción crítica

Es crucial que los responsables de la toma de decisiones entiendan que el NAC no es simplemente una contraseña mejorada. La diferencia es fundamental para la postura de seguridad de la red.

comparison_chart.png

Como ilustra la comparación, el NAC proporciona un control basado en la identidad que es imposible de lograr con credenciales compartidas. Traslada el perímetro de seguridad desde el extremo de la red hasta el dispositivo individual, lo que permite un enfoque Zero Trust donde el acceso nunca se asume y siempre se verifica.

El papel del cumplimiento de los endpoints

Una solución NAC madura va más allá de la autenticación. Realiza una evaluación de la postura en los dispositivos que se conectan para garantizar que cumplen con las políticas de seguridad predefinidas antes de que se les conceda el acceso. Esto puede incluir comprobaciones de:

  • Nivel de parches del sistema operativo: ¿El dispositivo tiene instaladas las últimas actualizaciones de seguridad?
  • Software antivirus: ¿Está instalado, en ejecución y actualizado un cliente de AV aprobado?
  • Cifrado de disco: ¿Está cifrado el disco duro del dispositivo?
  • Cortafuegos del host: ¿Está habilitado el cortafuegos local?

Si un dispositivo no supera estas comprobaciones, se puede colocar en una VLAN de cuarentena con acceso limitado, tal vez solo a servidores de remediación donde el usuario pueda descargar las actualizaciones requeridas. Esta aplicación proactiva es una herramienta potente para prevenir la propagación de malware desde endpoints comprometidos.

Guía de implementación

Implementar NAC es un proyecto estratégico, no una simple instalación de software. Se recomienda un enfoque por fases para minimizar las interrupciones y garantizar el éxito.

Fase 1: Descubrimiento y definición de políticas

Antes de aplicar cualquier medida, debe comprender qué hay en su red. La fase inicial debe ser un modo pasivo, exclusivo de detección. La solución NAC supervisará el tráfico de red para perfilar cada dispositivo conectado, desde portátiles corporativos y smartphones del personal hasta dispositivos de invitados y hardware IoT como smart TVs, terminales TPV y sistemas de climatización. Esta visibilidad es fundamental para crear una política de acceso integral. Durante esta fase, definirá roles (por ejemplo, Usuario corporativo, Invitado, Contratista, Dispositivo IoT) y planificará los derechos de acceso para cada uno.

Fase 2: Aplicación gradual

Comience la aplicación en un segmento limitado y de bajo riesgo de la red, como la WiFi del personal del departamento de TI. Esto permite al equipo perfeccionar las políticas y solucionar problemas en un entorno controlado. Para los dispositivos corporativos, la implementación de 802.1X con autenticación basada en certificados (EAP-TLS) es el estándar de oro, ya que ofrece la experiencia de usuario más segura y fluida. Para el acceso de invitados y BYOD, un enfoque de Captive Portal es más práctico.

Fase 3: Integración del acceso de invitados y del personal con Purple

En establecimientos con distintas poblaciones de usuarios, separar el tráfico de invitados y del personal es primordial. Aquí es donde una plataforma como Purple se integra en la arquitectura NAC. La política NAC en el autenticador (AP/switch) puede identificar el tráfico de invitados y redirigirlo al Captive Portal de Purple para la autenticación y la aceptación de políticas. Mientras tanto, los dispositivos del personal pueden autenticarse de forma silenciosa a través de 802.1X contra un servidor RADIUS.

purple_nac_deployment.png

Este modelo híbrido ofrece lo mejor de ambos mundos:

  • Red de invitados: Gestionada por Purple para ofrecer una experiencia de usuario personalizada con la marca, opciones de inicio de sesión social, análisis de datos y cumplimiento de las normativas de privacidad de datos como el GDPR. La red subyacente está aislada en una VLAN de invitados.
  • Red del personal: Protegida mediante 802.1X para una autenticación robusta basada en certificados, con los dispositivos ubicados en una VLAN corporativa con acceso a los recursos internos.
  • Red operativa/IoT: Los dispositivos como los terminales TPV o los sistemas de gestión de edificios se ubican en su propia VLAN altamente restringida, utilizando a menudo la autenticación basada en MAC como control de referencia.

Fase 4: Implementación completa y supervisión

Una vez validadas las políticas y probada la integración, la aplicación se puede extender a toda la organización. La supervisión continua es esencial. El panel de control de NAC se convierte en una herramienta principal para las operaciones de seguridad, proporcionando visibilidad en tiempo real de los eventos de acceso a la red, el estado de cumplimiento y las amenazas potenciales.

Buenas prácticas

  • Priorizar la autenticación basada en certificados (EAP-TLS): Para los dispositivos gestionados por la empresa, evite las contraseñas. Los certificados son más seguros y proporcionan una experiencia de usuario sin fricciones.
  • Implemente la redirección dinámica de VLAN: Utilice atributos RADIUS para asignar automáticamente los dispositivos al segmento de red correcto en función de su rol y estado de seguridad. Esta es la esencia de la aplicación de políticas.
  • Diseñe pensando en los fallos: ¿Qué ocurre si el servidor RADIUS no está disponible? Configure los autenticadores para que fallen en modo abierto (permitir el acceso, menos seguro) o en modo cerrado (denegar el acceso, más seguro) en función de una evaluación de riesgos del segmento de red específico.
  • No intente abarcarlo todo a la vez: Empiece con una política sencilla y vaya iterando. Un punto de partida habitual es aplicar comprobaciones de estado de seguridad para los dispositivos corporativos y proporcionar un acceso básico solo a Internet para los invitados.
  • Intégrelo con su ecosistema de seguridad: Una solución NAC moderna debe integrarse con firewalls, SIEM y herramientas de gestión de endpoints para permitir una respuesta automatizada ante amenazas. Por ejemplo, si un firewall detecta tráfico malicioso procedente de un endpoint, puede enviar una señal a la solución NAC para que ponga en cuarentena ese dispositivo automáticamente.

Resolución de problemas y mitigación de riesgos

  • Problemas con el suplicante 802.1X: El dolor de cabeza más común es la falta de coherencia en el soporte para 802.1X en diferentes sistemas operativos y controladores de dispositivos. Asegúrese de que los dispositivos estén configurados correctamente a través de MDM o GPO.
  • Gestión de certificados: EAP-TLS requiere una infraestructura de clave pública (PKI). Gestionar el ciclo de vida de los certificados (emisión, renovación, revocación) puede ser complejo. Planifique esta carga de trabajo operativa.
  • Aleatorización de direcciones MAC: Los dispositivos móviles modernos (iOS, Android) utilizan direcciones MAC aleatorias para evitar el rastreo, lo que puede invalidar las reglas de autenticación basadas en MAC. Para las redes de invitados, esto refuerza la necesidad de un inicio de sesión basado en portal. Para el BYOD corporativo, exige un flujo de autenticación basado en el usuario.
  • Incorporación de IoT: Muchos dispositivos IoT no son compatibles con 802.1X. A menudo se requiere una combinación de autenticación basada en MAC y creación de perfiles. La solución NAC debe ser capaz de identificar un dispositivo como, por ejemplo, una Smart TV de Samsung y asignarlo automáticamente a la VLAN de IoT adecuada.

ROI e impacto empresarial

Invertir en NAC no es solo un gasto en seguridad; aporta un valor empresarial tangible.

Área de impacto empresarial Métrica de medición Resultado esperado
Mitigación de riesgos Reducción de los incidentes de seguridad originados por endpoints comprometidos. Menor coste de remediación de brechas y recuperación de datos.
Cumplimiento normativo Auditorías de PCI DSS, GDPR e HIPAA superadas con éxito. Prevención de multas regulatorias y daños a la reputación.
Eficiencia operativa Reducción de los tickets de soporte de TI relacionados con problemas de acceso a la red. La automatización de la incorporación y de la aplicación de políticas libera al personal de TI para proyectos estratégicos.
Experiencia de usuario Experiencia de conexión más rápida y fluida para el personal. Mayor productividad y menor frustración de los usuarios.
Business Intelligence (Con Purple) Análisis detallados sobre el comportamiento y la demografía de los invitados. Decisiones basadas en datos para marketing, operaciones y diseño de espacios.

Al cuantificar estos beneficios, los líderes de TI pueden elaborar un caso de negocio sólido para la implementación de NAC, presentándolo como un facilitador estratégico de un entorno de trabajo digital seguro y eficiente.

Referencias

[1] IBM, "Cost of a Data Breach Report 2023." [2] PCI Security Standards Council, "Guidance for PCI DSS Scoping and Network Segmentation." [3] IEEE, "IEEE 802.1X-2020 - IEEE Standard for Port-Based Network Access Control."

Definiciones clave

Network Access Control (NAC)

Una solución de seguridad de red que utiliza un conjunto de protocolos para definir e implementar una política que describe cómo proteger el acceso de los dispositivos a los nodos de red cuando intentan acceder a ella por primera vez.

Los equipos de TI implementan NAC para evitar que usuarios no autorizados y dispositivos no conformes accedan a las redes corporativas o privadas, reduciendo así la superficie de ataque.

IEEE 802.1X

Un estándar IEEE para el control de acceso a redes basado en puertos (PNAC). Forma parte del grupo de protocolos de red IEEE 802.1 y proporciona un mecanismo de autenticación para los dispositivos que desean conectarse a una LAN o WLAN.

Este es el estándar fundamental para la autenticación de nivel empresarial tanto en redes cableadas como inalámbricas, lo que permite la verificación de identidad por usuario y por dispositivo.

RADIUS

Remote Authentication Dial-In User Service. Un protocolo de red que proporciona una gestión centralizada de autenticación, autorización y contabilidad (AAA) para los usuarios y dispositivos que se conectan y utilizan un servicio de red.

En una arquitectura NAC, el servidor RADIUS es el cerebro. Recibe solicitudes de autenticación de switches y puntos de acceso, valida las credenciales contra un directorio de usuarios y devuelve las decisiones de política.

Endpoint Compliance (Evaluación de postura)

El proceso de comprobación de un dispositivo durante la autenticación para garantizar que cumple con un conjunto predefinido de políticas de seguridad, como tener un sistema operativo actualizado, antivirus activo y firewall habilitado.

Esta es una característica clave de las soluciones NAC avanzadas. Garantiza que un dispositivo no solo esté autorizado, sino que también sea seguro antes de permitirle el acceso a la red, evitando la propagación de malware.

VLAN (Virtual Local Area Network)

Una agrupación lógica de dispositivos en el mismo dominio de difusión. Las VLAN se configuran normalmente en los switches asignando algunas interfaces a un dominio de difusión y otras a otro.

NAC utiliza las VLAN como herramienta principal de aplicación de políticas. En función de la identidad y la postura de un dispositivo, la solución NAC indica al switch que lo ubique en una VLAN específica (por ejemplo, "Invitado", "Corporativa"), segmentando eficazmente la red.

Captive Portal

Una página web que el usuario de una red de acceso público está obligado a ver e interactuar con ella antes de que se le conceda el acceso. Los Captive Portals se utilizan habitualmente en centros de negocios, aeropuertos, vestíbulos de hoteles y otros establecimientos que ofrecen Wi-Fi gratuito.

Aunque no son tan seguros como 802.1X, los Captive Portals son el estándar para la autenticación de invitados. Plataformas como Purple los utilizan para gestionar las condiciones del servicio, recopilar datos de marketing y aplicar políticas de acceso para usuarios no corporativos.

EAP (Extensible Authentication Protocol)

Un marco de autenticación utilizado con frecuencia en conexiones de red e internet. Está definido en el RFC 3748 y proporciona una forma estándar para utilizar diferentes métodos de autenticación dentro del marco 802.1X.

Los arquitectos de TI eligen diferentes tipos de EAP en función de las necesidades de seguridad. EAP-TLS (que utiliza certificados) es muy seguro, mientras que PEAP (que utiliza contraseñas) es más fácil de implementar pero menos seguro.

PCI DSS

El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago. Un conjunto de normas de seguridad diseñadas para garantizar que todas las empresas que aceptan, procesan, almacenan o transmiten información de tarjetas de crédito mantengan un entorno seguro.

Un factor clave para la implementación de NAC en el sector minorista y la hostelería es el requisito 1.2.1 de PCI DSS, que exige la segmentación de la red donde se almacenan los datos de los titulares de tarjetas de las redes de invitados u otras redes.

Ejemplos prácticos

Un hotel de lujo de 500 habitaciones necesita proporcionar WiFi seguro para los huéspedes, el personal y un número creciente de dispositivos IoT (smart TVs, termostatos, sensores de minibar), garantizando al mismo tiempo el cumplimiento de la normativa PCI DSS para sus sistemas de pago.

  1. Segmentación de red: Desplegar una solución NAC para crear SSIDs y VLANs independientes: "HotelGuest", "HotelStaff" y "HotelIoT". Se crea una cuarta VLAN, solo cableada, para los terminales de pago que cumplen con la normativa PCI.
  2. Acceso de invitados: El SSID "HotelGuest" redirige a los usuarios a un Captive Portal de Purple. Los huéspedes se autentican mediante inicio de sesión social o un formulario de correo electrónico, aceptando las condiciones del servicio. Purple gestiona el consentimiento de GDPR y proporciona al hotel análisis de visitantes. La política de NAC ubica todos los dispositivos de los huéspedes en la VLAN de invitados, que tiene acceso exclusivo a Internet y está aislada de todos los sistemas internos del hotel.
  3. Acceso del personal: El SSID "HotelStaff" está configurado para WPA3-Enterprise con 802.1X EAP-TLS. Los dispositivos corporativos (portátiles, tabletas) se aprovisionan con certificados de cliente a través de una solución MDM. Cuando el personal se conecta, su dispositivo es autenticado por el servidor RADIUS y se ubica en la VLAN del personal, otorgando acceso a recursos internos como el Property Management System (PMS).
  4. Acceso IoT: El SSID "HotelIoT" utiliza autenticación MAC. Las direcciones MAC de todos los dispositivos IoT desplegados se registran previamente en el sistema NAC. Cuando una smart TV se conecta, se verifica su MAC y se ubica en la VLAN de IoT, que solo tiene acceso a su servidor de gestión específico y está bloqueada tanto para la red de invitados como para la del personal.
Comentario del examinador: Este enfoque por niveles aplica correctamente el principio de mínimo privilegio. Utiliza el método de autenticación más adecuado para cada tipo de usuario y dispositivo, equilibrando la seguridad y la usabilidad. La integración de Purple para la experiencia de los invitados descarga la complejidad de la gestión del consentimiento y proporciona valiosos datos de marketing, mientras que el robusto marco 802.1X protege el tráfico corporativo sensible. Esta segmentación es fundamental para lograr el cumplimiento de PCI DSS al aislar los sistemas de pago de todas las demás redes.

Una cadena de tiendas minoristas con 150 establecimientos desea sustituir su red WPA2-PSK compartida e insegura. Necesitan proteger los dispositivos corporativos, ofrecer WiFi para invitados y garantizar que los terminales TPV de las tiendas estén aislados.

  1. RADIUS centralizado: Se despliega un servidor RADIUS alojado en la nube para gestionar la autenticación de las 150 tiendas, garantizando una aplicación coherente de las políticas.
  2. Dispositivos corporativos: Las tabletas de los gerentes de tienda y los escáneres de mano de los empleados se configuran mediante MDM para conectarse a un SSID "Corporate" mediante autenticación basada en certificados 802.1X. La política de NAC también realiza una comprobación de estado para garantizar que los dispositivos ejecutan la versión de software aprobada por la empresa.
  3. WiFi para invitados: Un SSID público "RetailGuest" utiliza un Captive Portal (como Purple) para proporcionar acceso a Internet. Esto aísla el tráfico de los invitados y permite a la cadena realizar campañas de marketing dirigidas basadas en análisis de ubicación.
  4. Aislamiento de terminales TPV: Los terminales TPV se conectan mediante puertos cableados. Los puertos del switch se configuran con autenticación basada en MAC, vinculándolos a las direcciones MAC específicas de los terminales. Estos puertos se asignan a una VLAN PCI dedicada y altamente restringida que solo puede comunicarse con el procesador de pagos.
  5. Despliegue progresivo: La solución se despliega primero en una única tienda piloto. Una vez validada, la configuración se envía de forma remota a las otras 149 tiendas, aprovechando las plataformas centralizadas de NAC y MDM.
Comentario del examinador: La clave del éxito en este escenario multisitio es la centralización. Una solución NAC y RADIUS basada en la nube evita la necesidad de servidores dedicados en cada tienda, lo que reduce drásticamente los costes y la sobrecarga de gestión. El uso de conexiones por cable y autenticación MAC para los terminales TPV estáticos es una solución robusta y práctica para el cumplimiento de PCI. El despliegue progresivo es una estrategia de mitigación de riesgos fundamental para un proyecto de esta envergadura.

Preguntas de práctica

Q1. Un estadio alberga un evento deportivo importante y necesita proporcionar WiFi para los aficionados, la prensa y el personal operativo. La prensa requiere un mayor ancho de banda y acceso a servidores de medios específicos. ¿Cómo diseñaría la política de acceso a la red?

Sugerencia: Considere el uso de diferentes SSID y la redirección de VLAN basada en RADIUS.

Ver respuesta modelo
  1. WiFi para aficionados: Un SSID abierto, "StadiumFanWiFi", redirige a todos los usuarios a un Captive Portal para su autenticación. El portal puede gestionar conexiones de alta densidad y aplicar limitación de ancho de banda para garantizar un uso justo. Todos los aficionados se ubican en una VLAN de acceso general, solo para internet.
  2. WiFi para prensa: Un SSID oculto, "StadiumPress", se protege con WPA2/3-Enterprise (802.1X). Se proporcionan credenciales a los miembros de la prensa previamente registrados. Tras la autenticación, el servidor RADIUS los identifica como parte del grupo "Prensa" y los asigna a una VLAN dedicada para la prensa. Esta VLAN tiene un perfil de QoS más alto y acceso a los servidores de medios internos.
  3. WiFi para el personal: Un tercer SSID oculto, "StadiumOps", también utiliza 802.1X para el personal operativo. Se les asigna a una VLAN de operaciones segura con acceso a los sistemas de venta de entradas, seguridad y gestión del edificio.

Q2. Su empresa está implementando una política BYOD (Bring Your Own Device). Un empleado desea conectar su portátil personal a la red corporativa. ¿Cuáles son las comprobaciones de estado mínimas que su solución NAC debería realizar antes de conceder el acceso?

Sugerencia: Piense en los vectores más comunes para el malware y la filtración de datos.

Ver respuesta modelo

La evaluación de estado mínima para un dispositivo BYOD debe incluir:

  1. Firewall funcional: El firewall basado en el host del dispositivo debe estar habilitado para evitar conexiones entrantes no solicitadas.
  2. Antivirus actualizado: Debe estar instalada y en ejecución una solución antivirus aprobada, que haya recibido actualizaciones de firmas en las últimas 24-48 horas.
  3. Actualizaciones del SO: El sistema operativo debe tener instalados todos los parches de seguridad críticos. La política podría especificar que el SO no debe tener un retraso superior a un mes con respecto a la última versión del parche.
  4. Sin software no aprobado: Una comprobación de aplicaciones prohibidas específicas, como clientes de intercambio de archivos peer-to-peer, que podrían introducir riesgos. Si el dispositivo no supera alguna de estas comprobaciones, se le debe denegar el acceso o ubicarlo en una VLAN de remediación.

Q3. Un hospital desea desplegar nuevas bombas de infusión conectadas por WiFi. Estos dispositivos no admiten 802.1X. ¿Cómo puede incorporarlos y gestionarlos de forma segura utilizando una solución NAC?

Sugerencia: Considere un enfoque multifactor para dispositivos sin interfaz de usuario que no admiten autenticación avanzada.

Ver respuesta modelo

Dado que las bombas no admiten 802.1X, se necesita un enfoque por capas:

  1. Autenticación MAC: Registre la dirección MAC de cada bomba de infusión en el sistema NAC. Esto proporciona un nivel básico de identidad.
  2. Perfilado de dispositivos: La solución NAC debe configurarse para perfilar el dispositivo en función de su tráfico de red (por ejemplo, la huella digital DHCP, los protocolos utilizados). Debe identificar el dispositivo como "Bomba de infusión Modelo X".
  3. Política combinada: Cree una política que requiera TANTO que la dirección MAC esté en la lista de permitidos COMO que el perfil del dispositivo coincida con la huella digital esperada. Esto evita la suplantación de MAC, ya que el portátil de un atacante podría tener una MAC válida pero no se comportará como una bomba de infusión en la red.
  4. VLAN y ACL estrictas: Una vez autenticada, la bomba se ubica en una VLAN "Medical_IoT" altamente restringida. Se aplica una lista de control de acceso (ACL) a su tráfico, permitiéndole comunicarse ÚNICAMENTE con la dirección IP específica del servidor de gestión de bombas de infusión y nada más. Cualquier otro tráfico se deniega explícitamente.

Continúe leyendo esta serie

Cómo configurar SCEP para el registro automatizado de certificados WiFi corporativos

Esta guía explica cómo configurar SCEP (Simple Certificate Enrollment Protocol) para el registro automatizado de certificados WiFi corporativos, abarcando toda la arquitectura desde PKI y NDES hasta el despliegue de perfiles MDM y la validación RADIUS. Está dirigida a directores de TI, arquitectos de red y CTO de hoteles, cadenas de retail, estadios, centros de conferencias y organizaciones del sector público que necesitan ir más allá de las claves precompartidas e implementar una autenticación 802.1X EAP-TLS escalable y basada en la identidad. La plataforma de superposición en la nube de Purple, que es independiente del hardware, se integra directamente con esta arquitectura, proporcionando la capa de WiFi para invitados y BYOD que coexiste junto a la red de personal autenticada por certificado.

Leer la guía →

La guía empresarial de SCEP: Despliegue de Simple Certificate Enrollment Protocol para la seguridad automatizada de WiFi en campus

Esta guía de referencia técnica proporciona un diseño arquitectónico definitivo y una estrategia de implementación paso a paso para el despliegue de certificados WiFi empresariales mediante SCEP. Cubre las diferencias críticas entre SCEP y PKCS, la secuencia exacta de despliegue requerida para el éxito y estrategias reales de mitigación de riesgos para líderes de TI.

Leer la guía →

Cómo implementar SCEP para el registro automatizado de certificados WiFi

Esta guía explica cómo implementar SCEP (Simple Certificate Enrollment Protocol) para el registro automatizado de certificados WiFi en entornos empresariales. Cubre el diseño arquitectónico completo, desde el diseño de PKI y la integración con MDM hasta la secuencia de despliegue obligatoria de tres pasos, y muestra a los responsables de TI y arquitectos de red cómo eliminar las credenciales compartidas, automatizar la gestión del ciclo de vida de los certificados y cumplir con los requisitos de PCI DSS y GDPR a escala.

Leer la guía →