Saltar al contenido principal

eduroam y 802.1X: autenticación WiFi segura para la educación superior

Esta guía de referencia técnica autorizada explica la arquitectura, el despliegue y la seguridad de la autenticación de eduroam y 802.1X. Diseñada para responsables de TI y arquitectos de red, cubre los pasos prácticos de implementación, la selección del método EAP y cómo los operadores de recintos pueden dar soporte de forma segura al roaming académico.

📖 6 min de lectura📝 1,343 palabras🔧 3 ejemplos prácticos3 preguntas de práctica📚 8 definiciones clave

Escuchar esta guía

Ver transcripción del podcast
GUION DE PODCAST: eduroam y 802.1X - Autenticación de WiFi segura para educación superior Duración: aproximadamente 10 minutos Voz: inglés británico, masculino, tono de consultor senior - seguro de sí mismo, conversacional, con autoridad --- [INTRODUCCIÓN - 1 minuto] Bienvenidos de nuevo. Durante los próximos diez minutos, os guiaré a través de eduroam y 802.1X: qué son, cómo funcionan realmente a nivel interno y qué necesita saber vuestro equipo antes de desplegar o integrarse con cualquiera de ellos. Si eres responsable de TI, arquitecto de redes o CTO en una universidad, centro de educación superior o institución de investigación (o si eres un operador de un recinto que necesita entender qué esperan los visitantes académicos de vuestra infraestructura inalámbrica), este informe es para ti. Empecemos con una visión general. eduroam significa "education roaming". Es un servicio global de roaming de WiFi que permite a estudiantes, investigadores y personal de las instituciones miembros conectarse a Internet en cualquier centro participante, de forma automática y segura, utilizando las credenciales de su institución de origen. Sin portales de invitados. Sin códigos de cupones. Sin tener que pedir la contraseña en recepción. Lleva funcionando desde 2003, actualmente cubre más de 10.000 instituciones en más de 100 países y es el estándar de facto para redes inalámbricas de campus en la educación superior en todo el mundo. Si vuestra organización tiene relación con universidades (ya sea un hotel cerca de un campus, un centro de conferencias que alberga eventos académicos o una biblioteca pública en una ciudad universitaria), comprender eduroam es directamente relevante para vuestra estrategia de red. --- [INMERSIÓN TÉCNICA - 5 minutos] Muy bien. Entremos en la parte mecánica. eduroam está construido sobre IEEE 802.1X, el estándar de control de acceso a redes basado en puertos. 802.1X define un marco para autenticar dispositivos antes de que se les conceda acceso a una red. Se diseñó originalmente para redes Ethernet por cable, pero se adapta perfectamente a las inalámbricas y es la base de lo que llamamos seguridad WPA2 o WPA3-Enterprise. El modelo 802.1X consta de tres componentes. En primer lugar, el Suplicante (Supplicant): es el dispositivo que intenta conectarse. El ordenador portátil de un estudiante, el teléfono de un investigador. En segundo lugar, el Autenticador (Authenticator): es vuestro punto de acceso de red o switch gestionado. Se sitúa entre el suplicante y el resto de la red, y actúa como guardián. En tercer lugar, el Servidor de Autenticación (Authentication Server): casi siempre un servidor RADIUS. RADIUS son las siglas de Remote Authentication Dial-In User Service. Es el componente que realmente valida las credenciales. Así es como funciona el saludo de conexión. El dispositivo del estudiante se asocia con el punto de acceso inalámbrico. El punto de acceso aún no concede un acceso completo a la red; abre lo que se conoce como un puerto controlado, pero solo para el tráfico EAP. EAP es el Protocolo de Autenticación Extensible. El punto de acceso actúa como intermediario en la conversación EAP entre el dispositivo y el servidor RADIUS. El servidor RADIUS desafía al dispositivo, el dispositivo responde con las credenciales (por lo general, un nombre de usuario y contraseña, o un certificado) y, si el servidor RADIUS queda satisfecho, devuelve un mensaje de Access-Accept. A continuación, el punto de acceso abre el puerto de red completo. Todo este intercambio dura menos de dos segundos en un despliegue bien configurado. Ahora bien, ¿dónde se integra eduroam sobre todo esto? eduroam utiliza una infraestructura de proxy RADIUS jerárquica. Cada institución participante gestiona su propio servidor RADIUS, denominado Proveedor de Identidad o IdP. Cuando un estudiante de, por ejemplo, la Universidad de Manchester visita el Imperial College de Londres y se conecta al SSID eduroam, su dispositivo envía sus credenciales en el formato usuario@manchester.ac.uk. El servidor RADIUS del Imperial detecta el dominio (la parte que va detrás del símbolo @) y desvía la solicitud de autenticación hacia el servidor RADIUS nacional, gestionado en el Reino Unido por Jisc, la red nacional de investigación y educación. A continuación, Jisc enruta la solicitud al servidor RADIUS de la Universidad de Manchester, que valida las credenciales y devuelve un mensaje de aceptación o rechazo. Toda la cadena se resuelve en milisegundos. Esta cadena de proxy es lo que permite que eduroam funcione a través de los límites institucionales sin necesidad de secretos precompartidos entre las instituciones. Cada salto de la cadena utiliza un secreto RADIUS compartido únicamente con su vecino inmediato. La contraseña real del estudiante nunca sale del servidor RADIUS de la institución de origen; está protegida de extremo a extremo por el túnel EAP. En cuanto a los métodos EAP (aquí es donde fallan muchos despliegues, así que preste atención): los métodos EAP más comunes en eduroam son PEAP (EAP protegido) y EAP-TLS. PEAP envuelve un método de autenticación interno, normalmente MSCHAPv2, dentro de un túnel TLS. Requiere un certificado en el lado del servidor en el servidor RADIUS, pero el cliente solo necesita un nombre de usuario y una contraseña. EAP-TLS es la opción más segura; utiliza autenticación mutua por certificado, lo que significa que tanto el servidor como el cliente presentan certificados. Es más difícil de desplegar a gran escala porque se necesita una PKI para emitir certificados de cliente, pero es básicamente inmune al phishing de credenciales. El requisito de seguridad crítico en el que fallan muchas instituciones es la validación de certificados en el lado del cliente. Cuando un dispositivo se conecta a eduroam utilizando PEAP, el dispositivo debe verificar el certificado del servidor RADIUS antes de enviar las credenciales. Si el dispositivo está mal configurado para aceptar cualquier certificado, un atacante puede levantar un punto de acceso malicioso que emita el SSID eduroam, presentar un certificado autofirmado y recopilar credenciales. Este es un vector de ataque conocido. La solución consiste en configurar los perfiles de suplicante - a través de MDM para dispositivos gestionados, o mediante la Herramienta de Asistencia de Configuración de eduroam, conocida como CAT, para dispositivos personales - para vincular la entidad de certificación y el nombre de servidor previstos. Desde la perspectiva de los estándares, se espera que las implementaciones de eduroam cumplan con la Definición de Servicio de Políticas de eduroam, que exige TLS 1.2 o superior para todas las conexiones RADIUS sobre TLS, prohíbe el uso de métodos EAP débiles como EAP-MD5 o LEAP, y exige que todas las conexiones proxy RADIUS utilicen RadSec - RADIUS sobre TLS - en lugar de UDP RADIUS sin cifrar siempre que sea posible. Esto se alinea con la guía del NCSC en el Reino Unido y NIST SP 800-120 en los EE. UU. Un punto técnico más que vale la pena destacar: la asignación de VLAN. En una implementación de eduroam bien diseñada, la respuesta Access-Accept de RADIUS incluye atributos de VLAN que indican al punto de acceso a qué VLAN debe asignar el dispositivo que se conecta. Esto le permite segmentar el tráfico, colocando a los estudiantes visitantes en una VLAN restringida con acceso exclusivo a internet, mientras que su propio personal es redirigido a la red interna. Esto es esencial para el cumplimiento normativo, especialmente si está sujeto a PCI-DSS o si necesita mantener la separación entre las redes de datos de investigación y el tráfico general de internet. - [RECOMENDACIONES DE IMPLEMENTACIÓN Y ERRORES COMUNES - 2 minutos] Permítame ofrecerle algunos consejos prácticos. Si está implementando eduroam por primera vez, su primer paso debe ser ponerse en contacto con su NREN nacional (en el Reino Unido es Jisc, en Irlanda HEAnet, en los EE. UU. Internet2). Ellos gestionan la afiliación a la federación y le asignarán un dominio RADIUS. No puede participar en eduroam sin ser miembro de su federación nacional. Su lista de verificación de infraestructura: necesita puntos de acceso compatibles con 802.1X (cualquier equipo de nivel empresarial de Cisco, Aruba, Juniper, Ruckus o Ubiquiti UniFi servirá). Necesita un servidor RADIUS (FreeRADIUS es el estándar de código abierto, o puede utilizar Microsoft NPS, Cisco ISE o Aruba ClearPass). Necesita un certificado TLS válido para su servidor RADIUS de una CA de confianza para la comunidad de eduroam, normalmente un certificado de la PKI de su institución o de una CA comercial de la lista aprobada de eduroam. Los tres fallos de despliegue más comunes que veo son: primero, la configuración incorrecta de certificados - bien porque el certificado RADIUS ha caducado, o porque los perfiles del suplicante del cliente no están vinculados correctamente. Segundo, los tiempos de espera del proxy RADIUS - si su conexión NREN ascendente tiene problemas de latencia, la autenticación agotará el tiempo de espera y los usuarios verán fallos de conexión que parecen errores de credenciales. Tercero, la configuración incorrecta de VLAN - los usuarios visitantes terminan en el segmento de red equivocado, ya sea sin acceso a internet o, lo que es peor, obteniendo acceso a recursos internos que no deberían ver. En el lado del cliente, despliegue perfiles eduroam CAT en todos los dispositivos gestionados a través de su plataforma MDM. Para dispositivos personales, publique de forma destacada el enlace del instalador de CAT. Este único paso elimina la mayoría de los tickets de soporte. Para los centros que no son instituciones de educación superior pero quieren ofrecer acceso a eduroam - centros de conferencias, hoteles y similares - el proceso se llama eduroam Visitor Access, o eVA. Permite a las organizaciones que no son miembros alojar el SSID de eduroam y delegar la autenticación al proxy de la federación sin ser miembros de pleno derecho. Vale la pena investigarlo si organiza habitualmente conferencias académicas o eventos universitarios. - [PREGUNTAS Y RESPUESTAS RÁPIDAS - 1 minuto] Preguntas rápidas que me hacen con regularidad. "¿Puede eduroam reemplazar nuestro WiFi de invitados por completo?" No. eduroam solo funciona para usuarios que tienen credenciales en una institución miembro. Todavía necesita una solución de WiFi de invitados independiente para todos los demás - visitantes, contratistas, público en general. "¿Cumple eduroam con el GDPR?" Sí, con matices. La arquitectura de la federación significa que su institución procesa los datos de autenticación, pero debe asegurarse de que sus avisos de privacidad cubran esto y de que sus registros de RADIUS se gestionen de manera adecuada. "¿Podemos usar WPA3 con eduroam?" Sí. WPA3-Enterprise es totalmente compatible con 802.1X y es el estándar recomendado para nuevos despliegues. Añade cifrado en modo de 192 bits para entornos de alta seguridad. "¿Cuál es la diferencia entre eduroam y OpenRoaming?" OpenRoaming es una iniciativa del sector más amplia de la Wireless Broadband Alliance que utiliza la misma arquitectura de proxy RADIUS y 802.1X pero extiende el roaming más allá de la educación a espacios comerciales. Algunas plataformas, incluyendo Purple, admiten OpenRoaming como parte de su oferta de WiFi de invitados. - [RESUMEN Y PRÓXIMOS PASOS - 1 minuto] Para terminar. eduroam es un servicio de roaming WiFi maduro, bien gobernado y desplegado globalmente, creado sobre 802.1X y una infraestructura de proxy RADIUS jerárquica. Ofrece autenticación por usuario, cifrado sólido y un roaming fluido en más de 10.000 instituciones - sin contraseñas compartidas ni Captive Portals. Para los equipos de TI que desplieguen o actualicen la red inalámbrica del campus: prioricen EAP-TLS sobre PEAP allí donde su PKI pueda admitirlo, apliquen la validación de certificados en todos los perfiles de cliente, utilicen RadSec para todas las conexiones de proxy RADIUS y segmenten a los usuarios visitantes en una VLAN dedicada. Para los operadores de recintos: si recibe con frecuencia a visitantes académicos, investigue eduroam Visitor Access. Y, independientemente de si implementa eduroam, su infraestructura de WiFi para invitados debe basarse en principios 802.1X de nivel empresarial - no en PSK compartidas. Si desea profundizar en alguno de estos aspectos - la arquitectura RADIUS, el diseño de PKI para EAP-TLS o cómo las plataformas como Purple se integran con eduroam y OpenRoaming - la guía escrita completa está enlazada en las notas del programa. Gracias por escucharnos. Hasta la próxima. --- FIN DEL GUION

header_image.png

Resumen ejecutivo

Para las instituciones de educación superior y para los recintos que atienden a su personal y estudiantes, proporcionar una conectividad inalámbrica segura y fluida ya no es un lujo, sino un requisito operativo. El estándar para esta conectividad es eduroam, un servicio de roaming global basado en el marco de trabajo de IEEE 802.1X.

Esta guía proporciona a los directores de TI, arquitectos de red y directores de operaciones de recintos una referencia integral y neutral respecto al proveedor para comprender, implementar y solucionar problemas de 802.1X y eduroam. Vamos más allá de los modelos teóricos básicos para analizar cómo funciona en la práctica la red WiFi de campus de nivel empresarial, incluyendo la gestión de certificados, la arquitectura de proxy RADIUS y la integración con una estrategia de red de invitados más amplia.

Tanto si está actualizando una red universitaria obsoleta como si está configurando un centro de conferencias para admitir visitas académicas, implementar 802.1X correctamente reduce significativamente el riesgo de seguridad - especialmente el robo de credenciales - a la vez que reduce drásticamente los costes de soporte. Para los recintos que no pertenecen a la educación superior tradicional, comprender estos estándares es esencial para evaluar las federaciones de roaming comercial como OpenRoaming, que comparten la misma arquitectura subyacente.

Análisis técnico profundo: arquitectura de 802.1X y eduroam

En su núcleo, eduroam es una implementación de IEEE 802.1X, el estándar de control de acceso a la red basado en puertos. 802.1X se diseñó originalmente para redes cableadas, pero constituye la base de la seguridad WPA2-Enterprise y WPA3-Enterprise.

El modelo de triángulo 802.1X

El marco de trabajo 802.1X se basa en la interacción de tres componentes distintos para autorizar el acceso:

  1. Suplicante (Supplicant): El dispositivo de cliente que solicita acceso a la red (por ejemplo, el ordenador portátil o el smartphone de un estudiante).
  2. Autenticador (Authenticator): El dispositivo de acceso a la red (por ejemplo, un punto de acceso WiFi o un switch gestionado). Actúa como guardián, bloqueando todo el tráfico excepto los mensajes de autenticación hasta que el dispositivo esté autorizado.
  3. Servidor de autenticación (Authentication Server): El sistema backend que valida las credenciales, casi de forma universal un servidor RADIUS (Remote Authentication Dial-In User Service).

Cuando un dispositivo se conecta, el autenticador establece un puerto controlado. Transmite los mensajes de Protocolo de Autenticación Extensible (EAP) entre el suplicante y el servidor de autenticación. Si las credenciales son válidas, el servidor devuelve un mensaje RADIUS Access-Accept y el autenticador abre el puerto para permitir el paso del tráfico IP estándar.

architecture_overview.png

Jerarquía de proxies RADIUS de eduroam

Lo que hace que eduroam sea único es su arquitectura federada. Permite a los usuarios autenticarse en cualquier institución participante utilizando las credenciales de su centro de origen, sin que la institución de destino guarde nunca una copia de dichas credenciales.

Esto se consigue mediante una cadena jerárquica de proxies RADIUS. Cuando un usuario de username@university.ac.uk se conecta al SSID de eduroam en un centro de destino:

  1. El dispositivo del usuario envía una solicitud de autenticación con el formato username@university.ac.uk.
  2. El servidor RADIUS del centro de destino inspecciona el dominio (la parte posterior al símbolo @). Al reconocerlo como un dominio externo, reenvía la solicitud al servidor RADIUS nacional de nivel superior (operado por la Red Nacional de Investigación y Educación, o NREN).
  3. El servidor nacional enruta la solicitud al servidor RADIUS de la institución de origen (university.ac.uk).
  4. La institución de origen valida las credenciales y devuelve un mensaje Access-Accept o Access-Reject de vuelta a lo largo de la cadena.

Normalmente, todo el proceso se completa en menos de dos segundos. Fundamentalmente, la contraseña del usuario nunca se expone a la institución de destino ni a los servidores proxy intermedios; se protege dentro de un túnel EAP cifrado establecido directamente entre el suplicante y el servidor RADIUS de origen.

Métodos EAP: el equilibrio entre seguridad y viabilidad de despliegue

La elección del método EAP determina cómo se forma el túnel cifrado y cómo se intercambian las credenciales. La definición del servicio de políticas de eduroam limita estrictamente los métodos permitidos para garantizar la seguridad.

  • PEAP (EAP protegido): el método de despliegue más común. Utiliza un certificado de servidor en el servidor RADIUS para establecer un túnel TLS. A continuación, el cliente se autentica dentro de ese túnel, normalmente utilizando MSCHAPv2 (usuario y contraseña). Es relativamente fácil de desplegar, pero es vulnerable a ataques de puntos de acceso no autorizados si los clientes no están configurados para validar estrictamente el certificado del servidor.
  • EAP-TLS: el estándar de oro en seguridad. Requiere autenticación mutua, lo que significa que tanto el servidor RADIUS como el dispositivo cliente deben presentar certificados válidos. Aunque es inmune al phishing de credenciales, requiere una infraestructura de clave pública (PKI) sólida para emitir y gestionar certificados de cliente, lo que hace que el despliegue a gran escala sea más complejo.

Guía de implementación

El despliegue de 802.1X y eduroam requiere una coordinación cuidadosa entre la infraestructura de red, la gestión de identidades y la configuración del cliente.

1. Preparación de la infraestructura

Asegúrese de que sus puntos de acceso y controladores inalámbricos sean compatibles con WPA2-Enterprise/WPA3-Enterprise y 802.1X. Cualquier hardware moderno de nivel empresarial (Cisco, Aruba, Juniper, entre otros) cumplirá con este requisito. También debe desplegar una infraestructura RADIUS sólida (como FreeRADIUS, Cisco ISE o Aruba ClearPass) capaz de gestionar la carga de autenticación prevista y de realizar el reenvío de solicitudes (proxying).

2. Gestión de certificados

Para despliegues PEAP, su servidor RADIUS necesita un certificado TLS emitido por una entidad de certificación (CA) en la que confíen sus clientes. Nunca utilice certificados autofirmados en un despliegue de eduroam en producción. Los certificados deben renovarse periódicamente para evitar interrupciones en la autenticación.

3. Configuración de clientes (la herramienta CAT)

El punto de fallo más común en los despliegues de eduroam es la configuración incorrecta del cliente. Cuando los usuarios se conectan manualmente, a menudo no configuran la validación del certificado, lo que los deja expuestos a ataques de obtención de credenciales.

Para mitigar este riesgo, las instituciones deben utilizar la Herramienta de asistencia a la configuración de eduroam (CAT) o una solución MDM para distribuir perfiles preconfigurados. Estos perfiles configuran automáticamente el método EAP correcto, asocian el certificado del servidor RADIUS esperado y establecen el protocolo de autenticación interna adecuado.

4. Asignación y segmentación de VLAN

Un despliegue avanzado utiliza atributos RADIUS para asignar VLANs de forma dinámica en función de la identidad del usuario.

  • Usuarios internos: asignados a VLANs internas con el acceso adecuado a los recursos del campus.
  • Usuarios visitantes: asignados a una VLAN de invitados restringida que solo ofrece acceso a internet.

Esta segmentación es fundamental para la seguridad y el cumplimiento normativo, garantizando que los dispositivos visitantes no puedan acceder a redes internas sensibles.

comparison_chart.png

Buenas prácticas y recomendaciones neutras respecto al proveedor

  • Priorice WPA3: en los nuevos despliegues, habilite WPA3-Enterprise para obtener cifrado obligatorio de 192 bits y una mejor protección contra ataques de diccionario sin conexión.
  • Imponga la validación de certificados: exija el uso de perfiles de configuración (a través de CAT o MDM) para garantizar que el suplicante valide estrictamente el certificado del servidor RADIUS antes de transmitir las credenciales.
  • Utilice RadSec: al configurar conexiones proxy RADIUS con la federación nacional, utilice RadSec (RADIUS sobre TLS) en lugar de UDP simple. Esto cifra el tráfico proxy y mejora la fiabilidad en enlaces de área amplia.
  • Intégrelo con una solución para invitados: eduroam solo da servicio a usuarios con credenciales académicas. Debe mantener una solución de WiFi de invitados independiente y segura para contratistas, público en general y asistentes a eventos.* Revise la infraestructura relacionada: Asegúrese de que su red subyacente sea segura. Lea nuestra guía Securing your network with robust DNS and security para obtener más detalles. Si va a desplegar una infraestructura temporal para eventos universitarios, consulte Event WiFi: Planning and Deploying Temporary Wireless Networks o la versión en portugués Event WiFi: Planeamento e Implementação de Redes Sem Fios Temporárias .

Resolución de problemas y mitigación de riesgos

Cuando la autenticación falla, es esencial realizar una resolución de problemas sistemática.

  1. Aísle el dominio del fallo: Determine si el fallo es local (afecta a los usuarios de su propia red), remoto (afecta a sus usuarios en otros lugares) o entrante (afecta a los visitantes de su red).
  2. Compruebe los registros RADIUS: Los registros del servidor RADIUS son la fuente de información autorizada. Busque mensajes Access-Reject (que indican credenciales incorrectas o infracciones de las políticas) o tiempos de espera agotados (que indican problemas de conectividad con el proxy).
  3. Verifique la validez del certificado: Asegúrese de que el certificado del servidor RADIUS no haya caducado y de que se esté presentando la cadena de certificados completa a los clientes.
  4. Monitoree la latencia ascendente: Una latencia alta hacia el proxy RADIUS nacional puede causar que se agote el tiempo de espera del cliente, lo que provoca conexiones fallidas incluso cuando las credenciales son correctas.

ROI e impacto empresarial

Para las instituciones de educación superior, el retorno de una implementación de eduroam correctamente desplegada se traduce en una reducción drástica de los tickets de soporte. Al eliminar los Captive Portals y la introducción manual de contraseñas, los departamentos de soporte de TI experimentan una disminución significativa de las llamadas relacionadas con la conectividad. (El compromiso de Purple con este sector es claro; consulte Purple appoints Tim Peers as VP of Education, underlining its higher education ambitions ).

Para los espacios comerciales - como hospitality , retail , healthcare o transport - admitir el acceso de visitantes de eduroam (eVA) o federaciones similares como OpenRoaming proporciona una experiencia sin fricciones para un grupo demográfico de alto valor. Garantiza que los visitantes académicos se conecten de forma automática y segura, mejorando la satisfacción y permitiendo al mismo tiempo que el espacio mantenga una segmentación de red estricta. Si su establecimiento necesita un ancho de banda dedicado para hacer frente a esta demanda, considere la lectura de What is a leased line? Internet built for business .

Al planificar las actualizaciones de la red, la integración de la capacidad 802.1X garantiza que su infraestructura esté preparada para las redes modernas basadas en la identidad, sentando las bases para servicios avanzados de WiFi Analytics y localización.

Definiciones clave

802.1X

Un estándar IEEE para el control de acceso a redes basado en puertos (PNAC). Proporciona un mecanismo de autenticación para los dispositivos que desean conectarse a una LAN o WLAN.

El protocolo fundamental para la seguridad WiFi de nivel empresarial, que sustituye las contraseñas compartidas (PSK) por una autenticación individualizada.

RADIUS (Remote Authentication Dial-In User Service)

Un protocolo de red que proporciona una gestión centralizada de autenticación, autorización y contabilidad (AAA) para los usuarios que se conectan y utilizan un servicio de red.

El servidor backend en un despliegue 802.1X que realmente comprueba las credenciales del usuario con un directorio (como Active Directory).

EAP (Extensible Authentication Protocol)

Un marco de autenticación utilizado frecuentemente en redes inalámbricas y conexiones punto a punto. Permite el transporte y uso de diversos mecanismos de autenticación.

El lenguaje que hablan el dispositivo cliente y el servidor RADIUS durante el saludo 802.1X.

Suplicante

El dispositivo cliente (por ejemplo, ordenador portátil, smartphone) o el software de ese dispositivo que intenta autenticarse en una red utilizando 802.1X.

La entidad que solicita el acceso. Su configuración (especialmente en lo que respecta a la validación de certificados) es fundamental para la seguridad.

Autenticador

El dispositivo de red (por ejemplo, punto de acceso inalámbrico, switch Ethernet) que facilita el proceso de autenticación 802.1X transmitiendo mensajes entre el suplicante y el servidor de autenticación.

El guardián que bloquea el tráfico de red hasta que el servidor RADIUS da luz verde.

PEAP (Protected Extensible Authentication Protocol)

Un método EAP que encapsula la transacción EAP dentro de un túnel TLS establecido mediante un certificado del lado del servidor, protegiendo la autenticación interna (normalmente una contraseña).

El método de autenticación más común para eduroam, que equilibra la seguridad con la facilidad de despliegue.

RadSec

Un protocolo para transmitir datos RADIUS sobre TCP y TLS, en lugar del tradicional UDP.

Recomendado para asegurar las conexiones proxy entre las instituciones y la federación nacional eduroam, evitando la interceptación del tráfico de autenticación.

Dominio

La parte de la identidad de un usuario que sigue al símbolo "@" (por ejemplo, "university.ac.uk" en "user@university.ac.uk").

Utilizado por los servidores proxy RADIUS para determinar a dónde dirigir la solicitud de autenticación en un entorno federado como eduroam.

Ejemplos prácticos

Un hotel de congresos de 400 habitaciones adyacente a una importante universidad acoge con frecuencia simposios académicos. El director de TI quiere permitir que los académicos visitantes se conecten automáticamente sin utilizar el Captive Portal estándar del hotel, pero debe garantizar que estos visitantes no puedan acceder a la red corporativa del hotel ni a la VLAN de la red de invitados estándar.

El hotel debe implementar eduroam Visitor Access (eVA) o unirse a una federación comercial como OpenRoaming.

  1. El hotel configura un nuevo SSID ('eduroam' o 'OpenRoaming') en sus puntos de acceso empresariales.
  2. Los AP se configuran para utilizar WPA2-Enterprise/802.1X.
  3. El hotel despliega un servidor RADIUS local configurado para realizar un proxy de las solicitudes de autenticación de dominios externos a la federación nacional (para eduroam) o al hub de OpenRoaming.
  4. Fundamentalmente, el servidor RADIUS local se configura para devolver un atributo de ID de VLAN específico en el mensaje Access-Accept para todas las autenticaciones con proxy.
  5. Los puntos de acceso sitúan a estos usuarios autenticados en una VLAN aislada, con acceso exclusivo a internet, completamente segmentada del tráfico corporativo y de invitados estándar del hotel.
Comentario del examinador: Este enfoque aprovecha correctamente la arquitectura de proxy RADIUS para descargar la autenticación en las instituciones de origen de los visitantes. Al utilizar la asignación dinámica de VLAN mediante atributos RADIUS, el hotel mantiene una segmentación de red estricta, satisfaciendo los requisitos de seguridad y ofreciendo al mismo tiempo una experiencia de usuario sin fricciones.

El equipo de TI de una universidad detecta un pico de cuentas de estudiantes comprometidas. La investigación revela que los estudiantes se están conectando a un punto de acceso no autorizado que emite el SSID 'eduroam' en una cafetería local. El AP no autorizado utiliza un certificado autofirmado para recopilar credenciales a través de PEAP.

El equipo de TI debe exigir de inmediato una validación estricta de certificados en todos los dispositivos cliente.

  1. Deben dejar de aconsejar a los estudiantes que se conecten manualmente al SSID y "acepten la advertencia de certificado".
  2. Despliegan la herramienta eduroam Configuration Assistant Tool (CAT) para dispositivos BYOD y actualizan los perfiles de MDM para los dispositivos gestionados.
  3. Estos perfiles configuran el suplicante para que confíe únicamente en la Autoridad de Certificación (CA) específica que emitió el certificado del servidor RADIUS de la universidad, y para que verifique el Common Name (CN) del servidor.
  4. Una vez configurado, si el dispositivo de un estudiante se encuentra con el AP no autorizado, el establecimiento del túnel EAP fallará porque el certificado no autorizado no coincide con la CA/CN fijada, lo que impide la transmisión de credenciales.
Comentario del examinador: Este escenario destaca la vulnerabilidad más crítica en los despliegues PEAP. La solución identifica correctamente que la corrección es la configuración en el lado del cliente. Confiar en la educación del usuario para detectar certificados falsos resulta ineficaz; los controles técnicos (fijación de perfiles) son obligatorios.

Una cadena de tiendas minoristas desea ofrecer OpenRoaming en 50 ubicaciones utilizando su infraestructura de WiFi para invitados existente, que actualmente depende de un SSID abierto con un Captive Portal.

La cadena de tiendas debe actualizar su red para admitir 802.1X y el proxy RADIUS.

  1. El equipo de red habilita un nuevo SSID que emite el OI (identificador de organización) del consorcio OpenRoaming.
  2. Configuran los puntos de acceso para autenticarse a través de 802.1X.
  3. Configuran su servidor RADIUS central para realizar un proxy de las solicitudes al hub de la federación OpenRoaming.
  4. Se aseguran de que su red de transporte de internet pueda soportar el aumento previsto de conexiones automatizadas, actualizándola potencialmente a líneas dedicadas si es necesario.
Comentario del examinador: Esto pone de relieve que pasar de un Captive Portal a un modelo federado 802.1X requiere cambios arquitectónicos fundamentales, específicamente la implementación de proxy RADIUS y la capacidad de gestionar un mayor número de conexiones automatizadas.

Preguntas de práctica

Q1. Su universidad está desplegando una nueva red inalámbrica. El CISO exige que el phishing de credenciales mediante puntos de acceso falsos sea matemáticamente imposible. ¿Qué método EAP debe seleccionar?

Sugerencia: Considera qué método se basa en contraseñas frente a cuál se basa enteramente en claves criptográficas.

Ver respuesta modelo

Debe seleccionar EAP-TLS. A diferencia de PEAP, que depende de una contraseña dentro de un túnel TLS, EAP-TLS requiere una autenticación mutua de certificados. Debido a que el dispositivo cliente se autentica utilizando un certificado criptográfico en lugar de una contraseña, no hay credenciales que un punto de acceso falso pueda interceptar mediante phishing.

Q2. Un investigador visitante de otra universidad se queja de que no puede conectarse a su red eduroam. Sus usuarios locales se conectan sin problemas. Al revisar los registros de su servidor RADIUS local, ve que la solicitud llega, pero expira antes de recibir un Access-Accept. ¿Cuál es la causa más probable?

Sugerencia: Piense en el camino que sigue la solicitud de autenticación para un usuario visitante frente a un usuario local.

Ver respuesta modelo

La causa más probable es un problema de conectividad o latencia entre su servidor RADIUS local y el proxy RADIUS de la NREN nacional. Dado que los usuarios locales se autentican directamente contra su servidor, no se ven afectados. La solicitud del usuario visitante debe enviarse por proxy a un nivel superior, y una expiración de tiempo (timeout) indica que la respuesta de la institución de origen no está regresando a tiempo.

Q3. Usted es el arquitecto de red de una cadena de tiendas situada cerca de una gran universidad. Quiere ofrecer WiFi sin interrupciones a los estudiantes utilizando eduroam Visitor Access (eVA), pero debe cumplir con PCI DSS para sus terminales de punto de venta. ¿Cómo integra eVA de forma segura?

Sugerencia: ¿Cómo permite 802.1X que el punto de acceso a la red diferencie el tráfico después de la autenticación?

Ver respuesta modelo

La integración de eVA se realiza configurando su servidor RADIUS para que asigne todas las autenticaciones de eVA correctas a una VLAN de invitados dedicada y exclusiva para internet. El mensaje Access-Accept del servidor RADIUS debe incluir el ID de VLAN específico. Esto garantiza que los dispositivos de los estudiantes estén completamente segmentados de la VLAN compatible con PCI utilizada por los terminales de punto de venta, cumpliendo así con los requisitos de conformidad.

Continúe leyendo esta serie

Cómo implementar SCEP para un BYOD seguro y registro de red en educación superior

Esta guía técnica proporciona a arquitectos de red y directores de TI un plan de acción independiente del proveedor para desplegar el registro de certificados basado en SCEP para proteger las redes de campus de educación superior. Detalla cómo migrar de PEAP basado en contraseñas a 802.1X EAP-TLS, automatizar la incorporación de BYOD y aplicar una segmentación robusta de VLAN.

Leer la guía →

Server RADIUS: una guía completa para empresas

Esta guía proporciona a directores de TI, arquitectos de redes y directores de tecnología (CTO) una referencia técnica definitiva sobre la autenticación mediante server RADIUS para WiFi empresarial. Cubre el marco AAA, la arquitectura 802.1X, la selección del método EAP, las ventajas y desventajas del despliegue en la nube frente a local y la asignación dinámica de VLAN. Los operadores de recintos del sector de la hostelería, retail, eventos y el sector público encontrarán pautas de implementación prácticas, casos de estudio reales y los marcos de decisión necesarios para migrar de claves precompartidas no seguras a una arquitectura de control de acceso a la red segura y basada en la identidad.

Leer la guía →

Aruba ClearPass vs. Purple WiFi: comparativa de funciones y codespliegue

Una guía técnica exhaustiva que detalla la arquitectura de codespliegue de Aruba ClearPass y Purple WiFi. Cubre la configuración de proxy RADIUS, la asignación dinámica de VLAN y las mejores prácticas para ofrecer redes de invitados seguras y basadas en analítica junto con el NAC empresarial.

Leer la guía →