EAP-TLS vs. PEAP: ¿Qué protocolo de autenticación es el adecuado para su red?

EAP-TLS vs. PEAP: ¿Qué protocolo de autenticación es el adecuado para su red? Una sesión informativa técnica de Purple [INTRODUCCIÓN — aproximadamente 1 minuto] Le damos la bienvenida a la sesión informativa técnica de Purple. Soy su anfitrión, y hoy vamos a abordar una de las decisiones más trascendentales que tomará al diseñar o actualizar su infraestructura inalámbrica empresarial: la elección entre EAP-TLS y PEAP para su marco de autenticación 802.1X. Si es responsable de TI, arquitecto de redes o CTO a cargo de un grupo hotelero, una red de retail, un estadio o una organización del sector público, esta decisión afecta a su postura de seguridad, su situación de cumplimiento normativo y la carga operativa diaria que soporta su equipo. Así que vayamos directos al grano. Tanto EAP-TLS como PEAP son métodos de autenticación 802.1X. Ambos dependen de un servidor RADIUS para gestionar las solicitudes de autenticación y ambos proporcionan una seguridad significativamente mayor que una frase de contraseña WPA2 compartida. Pero la forma en que verificaran la identidad es fundamentalmente diferente, y esa diferencia tiene importantes implicaciones en la forma de implementar, gestionar y escalar su red. [ANÁLISIS TÉCNICO DETALLADO — aproximadamente 5 minutos] Comencemos con EAP-TLS: Seguridad de la capa de transporte del protocolo de autenticación extensible. EAP-TLS es el estándar de oro de la autenticación WiFi empresarial. La característica definitoria es la autenticación mutua de certificados. Lo que esto significa en la práctica es lo siguiente: cuando un dispositivo intenta conectarse a su red, el servidor RADIUS presenta un certificado digital al dispositivo. El dispositivo comprueba ese certificado con sus autoridades de certificación de confianza. Pero aquí está la diferencia crítica con respecto a PEAP: a continuación, el dispositivo presenta su propio certificado al servidor. El servidor valida ese certificado de cliente y, solo si ambos certificados son válidos y de confianza, la red concede el acceso. No hay contraseñas de por medio. Ninguna. La autenticación se basa completamente en certificados. Esto hace que EAP-TLS sea extraordinariamente resistente al robo de credenciales, a los ataques de diccionario y a los ataques de intermediario (Man-in-the-Middle). Sencillamente, no se puede robar una contraseña que no existe en el flujo de autenticación. Ahora bien, la contrapartida es la complejidad de la implementación. Para ejecutar EAP-TLS a escala, necesita una infraestructura de clave pública (PKI) para emitir, gestionar y revocar certificados para cada uno de los dispositivos de su red. También necesita una solución de gestión de dispositivos móviles (MDM) para enviar esos certificados de forma silenciosa a los terminales. Si gestiona un parque corporativo con Microsoft Intune o Jamf, esto es totalmente viable. Si no es así, EAP-TLS se convierte en una tarea de gran envergadura. La otra consideración operativa es la gestión del ciclo de vida de los certificados. Los certificados caducan. Si el certificado de su servidor RADIUS caduca, todos los dispositivos de su red fallarán al autenticarse simultáneamente. Eso es una interrupción catastrófica. Los procesos de supervisión y renovación de certificados son innegociables. Ahora analicemos PEAP: Protocolo de autenticación extensible protegido. PEAP se diseñó para abordar la complejidad de implementación de EAP-TLS y, al mismo tiempo, proporcionar una seguridad sólida. La idea clave detrás de PEAP es esta: solo necesita que el servidor tenga un certificado. El cliente no lo necesita. Así es como funciona. El servidor RADIUS presenta su certificado al dispositivo cliente. El cliente valida el servidor, igual que en EAP-TLS. Esto establece un túnel TLS cifrado. Dentro de ese túnel, el cliente realiza una autenticación estándar basada en contraseña, normalmente utilizando MSCHAPv2, contra su almacén de identidades: Active Directory, LDAP, Google Workspace o lo que sea que esté utilizando. La contraseña nunca viaja en texto plano. Siempre está protegida dentro del túnel cifrado. Por lo tanto, PEAP es realmente seguro, siempre que esté configurado correctamente. Y ahí es donde tenemos que hablar de la configuración incorrecta más común y peligrosa en las implementaciones de PEAP. Si un dispositivo cliente no está configurado para validar estrictamente el certificado del servidor RADIUS, un atacante puede configurar un punto de acceso no autorizado con el mismo nombre de red, presentar un certificado fraudulento y el dispositivo se conectará sin problemas. A continuación, el atacante captura el intercambio de autenticación MSCHAPv2, que se puede descifrar sin conexión. Este no es un ataque teórico: es una técnica bien documentada que se utiliza en pruebas de penetración del mundo real. La solución es sencilla: utilice directivas de grupo, perfiles MDM o herramientas de incorporación para aplicar una validación estricta del certificado del servidor en cada dispositivo cliente. Pero la realidad operativa es que, en entornos BYOD, garantizar que esta configuración se aplique de forma coherente en miles de dispositivos personales no gestionados es realmente difícil. Permítame ofrecerle una comparación concreta. Piense en una cadena de retail de 500 ubicaciones. Tienen tabletas y escáneres portátiles propiedad de la empresa, todos gestionados a través de Microsoft Intune. EAP-TLS es la opción correcta. Intune envía los certificados automáticamente. Si se pierde un escáner, el departamento de TI revoca su certificado y queda fuera de la red en cuestión de minutos, sin restablecer contraseñas ni cambiar frases de contraseña compartidas en 500 tiendas. La seguridad es absoluta. Ahora piense en un gran centro de conferencias que ofrece WiFi a 3.000 miembros del personal en sus dispositivos personales. Sin MDM. El personal utiliza Google Workspace. PEAP integrado con Google Secure LDAP es la opción pragmática. El personal se autentica con sus credenciales estándar. El equipo de TI proporciona documentación de incorporación para configurar la validación de certificados. Se puede implementar en días, no en meses. La arquitectura que sustenta ambos protocolos es el mismo modelo 802.1X de tres componentes: el suplicante (que es el dispositivo cliente), el autenticador (que es su punto de acceso o conmutador) y el servidor RADIUS. El autenticador actúa como guardián, bloqueando todo el tráfico hasta que el servidor RADIUS indica que la autenticación se ha realizado correctamente. [RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES — aproximadamente 2 minutos] Entonces, ¿cuáles son las recomendaciones prácticas? Primero: si dispone de una solución MDM y dispositivos propiedad de la empresa, implemente EAP-TLS. La inversión inicial en PKI y gestión de certificados da sus frutos al reducir el riesgo y simplificar las auditorías de cumplimiento. Para entornos regulados (sanidad, finanzas, sector público), esto no es opcional. Es la arquitectura que sus auditores esperan ver. Segundo: si tiene un entorno BYOD o no dispone de infraestructura MDM, implemente PEAP. Pero no omita la configuración de validación del certificado del servidor. Utilice herramientas de incorporación, portales de control de acceso a la red o perfiles MDM siempre que sea posible para aplicar esto. Trátelo como un paso de implementación obligatorio, no como una medida de refuerzo opcional. Tercero: independientemente del protocolo que elija, incorpore redundancia de RADIUS en su arquitectura. La autenticación es una ruta crítica. Un único fallo del servidor RADIUS significa que nadie puede acceder a la red. Las soluciones RADIUS alojadas en la nube pueden proporcionar resiliencia sin la carga de gestionar una infraestructura local redundante. Cuarto: segmente su red después de la autenticación. Una autenticación 802.1X exitosa no debería conceder acceso ilimitado a toda su red corporativa. Utilice políticas de asignación de VLAN para ubicar a los usuarios en los segmentos de red adecuados con los controles de acceso correspondientes. Los errores comunes que deben evitarse son: la caducidad de los certificados, que provoca fallos de autenticación masivos en las implementaciones de EAP-TLS; que los dispositivos cliente no validen los certificados del servidor en las implementaciones de PEAP; y los problemas de tiempo de espera de RADIUS causados por una alta latencia entre el controlador inalámbrico y el servidor de autenticación, algo especialmente relevante en parques distribuidos geográficamente. [PREGUNTAS Y RESPUESTAS RÁPIDAS — aproximadamente 1 minuto] Permítame repasar algunas preguntas que escucho con frecuencia. ¿Puedo ejecutar EAP-TLS y PEAP en la misma red? Sí. Muchas organizaciones ejecutan EAP-TLS para dispositivos corporativos en un SSID y PEAP para BYOD o acceso de invitados en un SSID independiente, con la segmentación de red adecuada entre ellos. ¿Cambia esta decisión con WPA3? WPA3 Enterprise exige el modo de seguridad de 192 bits para implementaciones de alta seguridad, lo que se alinea con EAP-TLS. WPA3 Personal utiliza SAE en lugar de PSK, pero para implementaciones 802.1X empresariales, la selección del método EAP sigue siendo relevante. ¿Cumple PEAP con PCI DSS? Sí, cuando se configura correctamente y se aplica la validación del certificado del servidor. Sin embargo, para entornos que manejan datos de titulares de tarjetas, EAP-TLS es cada vez más el enfoque recomendado en las evaluaciones de seguridad. ¿Qué pasa con OpenRoaming? OpenRoaming utiliza autenticación basada en certificados de forma interna, alineándose con los principios de EAP-TLS. Las plataformas como Purple pueden actuar como proveedores de identidad para OpenRoaming, lo que permite una itinerancia fluida y segura entre establecimientos sin necesidad de volver a autenticarse. [RESUMEN Y PRÓXIMOS PASOS — aproximadamente 1 minuto] En resumen: EAP-TLS es la opción de mayor seguridad, ya que elimina por completo las contraseñas mediante la autenticación mutua de certificados. Requiere infraestructura PKI y MDM, pero proporciona la postura de cumplimiento más sólida y el control de acceso a nivel de dispositivo más granular. PEAP es la opción pragmática para BYOD y entornos sin infraestructura de gestión de certificados, ya que proporciona una autenticación cifrada sólida utilizando las credenciales existentes, pero solo cuando se aplica rigurosamente la validación del certificado del servidor. El marco de decisión es sencillo: si gestiona sus dispositivos, utilice EAP-TLS. Si sus usuarios traen sus propios dispositivos, utilice PEAP, pero configúrelo correctamente. Para sus próximos pasos: audite su configuración de autenticación actual, evalúe su preparación para PKI y MDM, y revise su infraestructura RADIUS para comprobar la redundancia y la latencia. Si va a implementar o actualizar el WiFi de invitados junto con su red corporativa, considere cómo una plataforma como Purple puede integrarse con su marco de autenticación para proporcionar tanto seguridad como análisis prácticos de su red. Gracias por escuchar la sesión informativa técnica de Purple. Hasta la próxima.